第9章 サーバーとサービス


デフォルトの httpd 設定の暗号スィートに付く制限

httpd web サーバーの mod_ssl のデフォルト設定では単一の DES、IDEA、SEED 暗号化アルゴリズムを使った SSL 暗号スィートには対応しなくなります。

Cyrus IMAP サーバーで許可する SSL プロトコルの種類を設定

本更新により Cyrus IMAP サーバーで許可する SSL (Secure Sockets Layer) の種類を設定できるようになります。たとえば、ユーザー側で SSLv3 接続を無効にすることで POODLE 脆弱性による影響を緩和できるようになります。

dstat コマンドでシンボリックリンクに対応

dstat コマンドが強化されそのパラメーターにシンボリックリンクを使用できるようになります。これによりユーザーによる起動デバイス名の動的な指定が可能になり、ホットプラグや同様の動作を行った後でも dstat で正確な情報が表示されるようになります。シンボリックリンクは /dev/disk/ ディレクトリー内で指定しフルパスを使用します。

rng-tools のバージョン 5 へのリベース

ランダムに番号を生成する rng-tools パッケージがアップストリームバージョン 5 にアップグレードされました。Intel x86 および Intel 64 ベースの EM64T/AMD64 CPU モデルで rngd (ランダムナンバージェネレーターデーモン) がデフォルトで動作できるようになるため、RDRAND ハードウェアランダムナンバージェネレーターの説明に記載されているようにエントロピーを利用できるようになります。また、今回の更新ににより Intel アーキテクチャハードウェア、特にサーバーアプリケーションでのパフォーマンスと安全性が向上されています。

nm-connection-editor に対する機能強化

nm-connection-editor が強化され IP アドレスやルートの編集が容易になります。また、誤植や間違った設定を自動的に検出して強調表示するようになります。

ypbind で再結合の間隔の設定

NIS の結合プロセス ypbind は従来、最速となる NIS サーバーを 15 分ごとにチェックしていましたが、ファイアウォールの多くはデフォルトのタイムアウトが 10 分になっています。このため、再結合が試行されると ypbind が断続的に失敗する原因となっていました。今回の更新では調節可能なオプション -r が追加され、ypbind で再結合の間隔を秒単位で設定できるようになります。

squid パッケージのリベース

squid パッケージがアップストリームバージョン 3.1.23 にアップグレードされ、バグ修正や機能強化が加えられています。特に、squid に対して本文のない HTTP/1.1 POST と PUT の応答に対するサポートが加えられています。

dhcpd による dhcp オプション 97 の処理 - クライアントマシンの識別子 (pxe-client-id)

オプション 97 で送信される識別子に応じて特定のクライアントの IP アドレスを予約できるようになります(静的な割り当て)。以下に例を示します。
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

Tomcat ログファイルのローテーションの無効化

デフォルトでは Tomcat ログファイルは最初の書き込み動作で回転します。回転は深夜に発生し、{prefix}{date}{suffix} という形式のファイル名が与えられます。date は YYYY-MM-DD の表記になります。Tomcat ログファイルの回転を無効にできるよう rotatable パラメーターが追加されています。このパラメーターを false に設定するとログファイルが回転しなくなるため与えられるファイル名は {prefix}{suffix} になります。デフォルト値は true です。

cups でフェールオーバーに対応

CUPS に内蔵されている複数プリンター間の負荷分散機能は使用せず、他プリンターへのフェールオーバーを設定しておきジョブは一つのプリンターに送ることが可能になります。ジョブは優先プリンターに送られ、そのプリンターが使用できない場合にのみ他のプリンターが使用されます。

openssh で LDAP クエリーの調整に対応

異なるスキーマを使用するサーバーからそれぞれパブリックキーを取得するため LDAP (Lightweight Directory Access Protocol) クエリーを調整することができるようになります。

cupsd.conf(5) の man ページに ErrorPolicy の説明を追加

ErrorPolicy ディレクティブの詳細および使用できる値についての説明が cupsd.conf(5) の man ページに追加されています。バックエンドでプリンターへプリントジョブを送信できない場合に使用するデフォルトのポリシーを ErrorPolicy ディレクティブで定義します。

dovecot で使用する SSL プロトコルの種類を設定

dovecot で使用する SSL (Secure Sockets Layer) プロトコルの種類を設定できるようになります。たとえば、SSLv3 接続を無効にして POODLE 脆弱性による影響を緩和させることができるようになります。安全対策上、SSLv2 と SSLv3 はデフォルトで無効になります。必要な場合には手作業で使用するよう設定する必要があります。

openssh で PermitOpen オプションでのワイルドカードの使用に対応

sshd_config ファイルの PermitOpen オプションでワイルドカードに対応するようになります。

tomcatjss で TLS バージョンの 1.1 と 1.2 に対応

Java Security Services を使った TLSv1.1 (Transport Layer Security 暗号プロトコルバージョン 1.1) および TLSv1.2 (Transport Layer Security 暗号プロトコルバージョン 1.2) に対応するよう Tomcat が更新されました。

squid で HTTP ヘッダーの非表示および再書き込みに対応

squid は --enable-http-violations オプションでビルドされるようになり、ユーザー側で HTTP ヘッダーを非表示にしたり再書き込みをしたりすることができるようになります。

bind で RPZ-NSIP と RPZ-NSDNAME に対応

BIND 設定の RPZ (Response Policy Zone) で RPZ-NSIP と RPZ-NSDNAME のレコードを使用できるようになります。

openssh でアップロードしたファイルへの正確なパーミッションの実施に対応

OpenSSH では SFTP (Secure File Transfer Protocol) を使って新規にアップロードしたファイルに正確なパーミッションを実施できるようになります。

Mailman に機能強化した DMARC 緩和機能を収納

Mailman には機能強化された DMARC (Domain-based Message Authentication, Reporting & Conformance) 緩和機能が採用されています。たとえば、DKIM (Domain Key Identified Mail) 署名の Sender アライメントを認識するよう Mailman を設定し、reject DMARC ポリシーでドメインからの転送メッセージを正しく処理できるようになります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.