第13章 サーバーおよびサービス
ErrorPolicy ディレクティブが検証されるようになりました
ErrorPolicy 設定ディレクティブは起動時に検証されず、意図しないデフォルトのエラーポリシーを警告なしで使用できました。ディレクティブは起動時に検証され、設定された値が正しくない場合にデフォルトにリセットされるようになりました。目的のポリシーが使用されるか、警告メッセージがログに記録されます。
CUPS がデフォルトで SSLv3 暗号化を無効にするようになりました。
以前は、CUPS スケジューラーで SSLv3 暗号化を無効にすることができませんでした。これにより、SSLv3 に対する攻撃に対して脆弱になりました。この問題を解決するには、
cupsd.conf SSLOptions キーワードが拡張され、AllowRC4 と AllowSSL3 の 2 つの新しいオプションが追加されました。各オプションは、cupsd の名前付き機能を有効にします。新しいオプションは、/etc/cups/client.conf ファイルでもサポートされます。デフォルトでは、cupsd に対して RC4 と SSL3 の両方を無効にするようになりました。
CUPS でプリンター名のアンダースコアが可能に
cups サービスで、ローカルプリンター名にアンダースコア(_)を含めることができるようになりました。
tftp-server パッケージから不要な依存関係が削除される
以前は、tftp-server パッケージをインストールする際に、追加のパッケージがデフォルトでインストールされていました。今回の更新で、不要なパッケージの依存関係が削除され、tftp-server のインストール時に不要なパッケージがデフォルトでインストールされなくなりました。
非推奨の /etc/sysconfig/conman ファイルが削除されました。
systemd マネージャーが導入される前に、サービスのさまざまな制限は /etc/sysconfig/conman ファイルで設定できます。systemd に移行すると、/etc/sysconfig/conman は使用されなくなったため、削除されました。LimitCPU=、LimitDATA=、または LimitCORE= などの他のデーモンパラメーターを設定するには、conman.service ファイルを編集します。詳細は、systemd.exec (5)の man ページを参照してください。さらに、新しい変数 LimitNOFILE=10000 が systemd.service ファイルに追加されました。この変数は、デフォルトでコメントアウトされています。systemd 設定に変更を加えたら、変更を有効にするために systemctl daemon-reload コマンドを実行する必要があります。
mod_nss がバージョン 1.0.11 にリベース
mod_nss パッケージ がアップストリームバージョン 1.0.11 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、
mod_nss が TLSv1.2 を有効化できるようになり、SSLv2 が完全に削除されました。また、通常、暗号のサポートは最も安全であると見なされるようになりました。
vsftpd デーモンが DHE および ECDHE 暗号スイートをサポート
vsftpd デーモンは、Diffie-Hellman Exchange (DHE)および Elliptic Curve Diffie-Hellman Exchange (ECDHE)キー交換プロトコルに基づく暗号スイートをサポートするようになりました。
sftp でアップロードされたファイルのパーミッションを設定できるようになりました。
sftp ユーティリティーを使用してアップロードする際に、一貫性のないユーザー環境や厳密な
umask 設定により、ファイルにアクセスできなくなる可能性があります。今回の更新により、管理者は sftp を使用してアップロードされたファイルの正確なパーミッションを強制できるため、上記の問題を回避できるようになりました。
ssh-ldap-helper が使用する LDAP クエリーを調整できるようになりました。
すべての LDAP サーバーが、ssh-ldap-helper ツールで期待どおりにデフォルトのスキーマを使用するわけではありません。今回の更新で、管理者は ssh-ldap-helper が使用する LDAP クエリーを調整して、別のスキーマを使用してサーバーから公開鍵を取得できるようになりました。デフォルトの機能は変更しません。
logrotate ユーティリティーの新しい createolddir ディレクティブ
olddir ディレクトリーの自動作成を可能にする新しい logrotate createolddir ディレクティブが追加されました。詳細は、man ページの logrotate (8)を参照してください。
/etc/cron.daily/logrotate からのエラーメッセージが /dev/nullにリダイレクトされなくなる
logrotate の日次 cronjob によって生成されたエラーメッセージが、警告なしで破棄されるのではなく、root ユーザーに送信されるようになりました。さらに、/etc/cron.daily/logrotate スクリプトは RPM の設定ファイルとしてマークされます。
mod_sslで SEED および IDEA ベースのアルゴリズムが制限されている
セキュリティーを強化するために、Apache HTTP Server の
mod_ssl モジュールでデフォルトで有効になっている暗号スイートのセットが制限されています。SEED および IDEA ベースの暗号化アルゴリズムは、mod_ssl のデフォルト設定では有効ではなくなりました。
Apache HTTP Server が UPN をサポート
Microsoft User Principle Name などの SSL/TLS クライアント証明書の
サブジェクトの別名部分に保存されている名前 は、SSLUserName ディレクティブから使用でき、mod_ssl 環境変数で使用できるようになりました。ユーザーは、Common Access Card (CAC)または UPN を持つ証明書で認証でき、その UPN を認証されたユーザー情報として使用し、Apache のアクセス制御と REMOTE_USER 環境変数、またはアプリケーションで同様のメカニズムを使用して、UPN を認証できるようになりました。その結果、ユーザーは UPN を使用した認証に SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0 を設定できるようになりました。
mod_dav _ fs モジュールで mod_dav ロックデータベースがデフォルトで有効になりました。
Apache HTTP
mod_dav _ fs モジュールが読み込まれている場合は、mod_dav ロックデータベースがデフォルトで有効になりました。デフォルトの場所 ServerRoot/davlockdb は、DAVLockDB 設定ディレクティブを使用して上書きできます。
mod_proxy_wstunnel が WebSocket をサポート
Apache HTTP
mod_proxy_wstunnel モジュールはデフォルトで有効になり、wss:// スキームの SSL 接続のサポートが含まれます。また、mod_rewrite ディレクティブで ws:// スキームを使用することもできます。これにより、WebSocket を mod_rewrite のターゲットとして使用し、プロキシーモジュールで WebSocket を有効にできます。
Oracle データベースサーバー向けに最適化された Tuned プロファイルが含まれています
Oracle データベースの読み込み用に特別に最適化された新しい
oracle Tuned プロファイルが利用できるようになりました。新しいプロファイルは tuned-profiles-oracle サブパッケージで提供されるため、今後他の関連プロファイルを追加できます。oracle プロファイルは enterprise-storage プロファイルに基づいていますが、Oracle データベース要件に基づいてカーネルパラメーターを変更し、透過的な Huge Page をオフにします。
