第10章 サーバーおよびサービス
デフォルトの httpd 設定における制限付き暗号スイート
今回の更新で、httpd Web サーバーの mod_ssl モジュールのデフォルト設定では、単一の DES、IDEA、または SEED 暗号化アルゴリズムを使用した SSL 暗号スイートのサポートが有効になりなくなりました。
Cyrus IMAP サーバーで設定可能な SSL プロトコル
今回の更新で、Cyrus IMAP サーバーが許可する Secure Sockets Layer (SSL)プロトコルを設定できるようになりました。たとえば、ユーザーは SSLv3 接続を無効にして、POODLE の脆弱性の影響を軽減できます。
dstat コマンドがシンボリックリンクに対応
dstat コマンドは、パラメーター値としてのシンボリックリンクの使用をサポートするように強化されました。これにより、ユーザーはブートデバイス名を動的に指定できます。これにより、ホットプラグや同様の操作後に dstat が正しい情報を表示するようになります。シンボリックリンクは
/dev/disk/ ディレクトリーで指定する必要があり、このコマンドでは完全パスを使用する必要があります。
rng-tools がバージョン 5 にリベース
乱数ジェネレーターユーザー空間ユーティリティーを提供する rng-tools パッケージがアップストリームバージョン 5 にアップグレードされました。今回の更新で、Intel x86- および Intel 64 ベースの EM64T/AMD64 CPU モデルで乱数ジェネレーターデーモン(rngd)が有効になり、RDRAND ハードウェア乱数ジェネレーター命令によって提供されるエントロピーが利用できるようになりました。この機能拡張の更新により、特にサーバーアプリケーションにおける Intel アーキテクチャーハードウェアのパフォーマンスとセキュリティーも向上します。
NetworkManager 接続エディターのユーザービリティーの改善
今回の更新で、nm-connection-editor が強化され、IP アドレスとルートの編集が容易になりました。さらに、nm-connection-editor は、タイプミスと誤った設定を自動的に検出して強調表示しようとします。
ypbind を特定の再バインド間隔に設定できるようになりました
NIS バインディングプロセスは、従来は 15 分ごとに最速の NIS サーバーをチェックしていましたが、多くのファイアウォールではデフォルトのタイムアウトは 10 分となっています。これにより、再バインドを試みる際に ypbind が断続的に失敗しました。今回の更新で、特定の再バインド間隔を秒単位で設定できるようにする ypbind に、調整可能なオプション(
-r )が追加されました。
squid パッケージのリベース
squid パッケージがアップストリームバージョン 3.1.23 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。また、この更新では、squid にメッセージボディーのない HTTP/1.1 POST および PUT 応答のサポートが追加されました。
dhcpd handles dhcp オプション 97 - クライアントマシン ID (pxe-client-id)
オプション 97 で送信された識別子に基づいて、特定のクライアント用に(静的に割り当てられる)IP アドレスを予約できるようになりました。以下に例を示します。
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }Tomcat ログファイルのローテーションを無効にできるようになりました。
デフォルトでは、Tomcat ログファイルは、午前 0 時以降に発生する最初の書き込み操作でローテーションされ、ファイル名 {prefix}{date}{suffix} が指定されます。
日付 の形式は YYYY-MM-DD です。Tomcat ログファイルのローテーションを無効にするために、パラメーター rotatable が追加されました。このパラメーターが false に設定されている場合、ログファイルはローテーションされず、ファイル名は {prefix}{suffix} になります。デフォルト値は true です。
CUPS はフェイルオーバーをサポートしています。
CUPS に組み込まれているプリンター間で負荷分散を使用する代わりに、他のプリンターにフェイルオーバーして 1 つのプリンターにジョブを転送できるようになりました。ジョブは、セットの最初の稼働中のプリンターである 優先されるプリンター に送信され、優先されるプリンターが使用できない場合にのみ使用されます。
OpenSSH は LDAP クエリーの調整をサポートしています
管理者は、LDAP (Lightweight Directory Access Protocol)クエリーを調整して、異なるスキーマを使用するサーバーから公開鍵を取得できるようになりました。
ErrorPolicy description が cupsd.conf (5) man ページに追加されました。
ErrorPolicy ディレクティブと、サポートされている値の説明が、cupsd.conf (5) man ページに追加されました。ErrorPolicy ディレクティブは、バックエンドがプリンターに印刷ジョブを送信できない場合に使用されるデフォルトのポリシーを定義します。
dovecotで設定可能な使用可能な SSL プロトコル
この更新により、dovecot が許可する Secure Sockets Layer (SSL)プロトコルを設定できるようになりました。たとえば、ユーザーは SSLv3 接続を無効にして、POODLE の脆弱性の影響を軽減できます。セキュリティーの懸念により、SSLv2 および SSLv3 もデフォルトで無効になり、ユーザーが必要に応じて手動で許可する必要があります。
OpenSSH は PermitOpen オプションのワイルドカードをサポートしています。
sshd_config ファイルの PermitOpen オプションがワイルドカードをサポートするようになりました。
Tomcatjss は TLS バージョン 1.1 および 1.2 をサポートします。
Tomcat は、Java セキュリティーサービスを使用して Transport Layer Security 暗号プロトコルバージョン 1.1 (TLSv1.1)および Transport Layer Security cryptographic Protocol バージョン 1.2 (TLSv1.2)をサポートするように更新されました。
Squid は、HTTP ヘッダーの非表示または書き換えをサポートします
squid パッケージは --enable-http-violations オプションで構築され、ユーザーは HTTP ヘッダーを非表示または書き換えられるようになりました。
bind は RPZ-NSIP および RPZ-NSDNAME をサポートします。
RPZ-NSIP および RPZ-NSDNAME レコードは、BIND 設定の Response Policy Zone (RPZ)で使用できるようになりました。
OpenSSH は、アップロードされたファイルに正確なパーミッションを強制することをサポートしています
この更新により、OpenSSH は、SFTP (Secure File Transfer Protocol)を使用して新しくアップロードされたファイルに対して正確なパーミッションを強制的に実行できるようになりました。
mailman に、強化された DMARC 軽減策機能が追加されました
今回の更新で、Mailman に、複数の強化されたドメインベースのメッセージ認証、レポート&コンフォームス(DMARC)の軽減機能が導入されました。たとえば、Mailman は、Domain Key Identified Mail (DKIM)署名の Sender アライメントを認識するように設定でき、
拒否 DMARC ポリシーを使用してドメインからの転送されたメッセージを正しく処理できるようになりました。
