6.4. ネットワーク
同じゾーンファイルを BIND の複数のビューまたはゾーンに含めることが可能になりました
BIND 9.11 では、デーモンの書き込み可能なゾーンファイルが複数回使用されることを防ぐために、追加のチェックが導入された結果、ゾーンジャーナルのシリアライズにエラーが発生していました。そのため、BIND 9.9 が許可する設定は、このデーモンで許可されなくなりました。今回の更新で、設定ファイルチェックにおける致命的エラーメッセージが警告に置き換えられたため、同じゾーンファイルを複数のビューまたはゾーンに含めることができるようになりました。
in-view 句を使用することが、より適切なソリューションとして推奨されます。
ゾーンのドリフトを無効にする設定パラメーターを firewalld に追加されました
以前のリリースでは、firewalld サービスに、ゾーンのドリフトとして知られる、文書化されていない動作が含まれていました。RHEL 7.8 では、セキュリティーに悪影響を及ぼす可能性があるという理由から、この動作が削除されました。その結果、この動作を使用して汎用ゾーンまたはフォールバックゾーンを設定するホストでは、以前許可されていた接続を firewalld が拒否するようになりました。今回の更新で、ゾーンのドリフト動作が設定可能な機能として再度追加されました。これにより、ゾーンのドリフトを使用するか、動作を無効化してよりセキュアなファイアウォール設定を使用するかを、ユーザーが決定できるようになりました。
RHEL 7.9 では、/etc/firewalld/firewalld.conf ファイルの新しい AllowZoneDrifting パラメーターはデフォルトで yes に設定されています。このパラメーターが有効な場合、以下のメッセージが firewalld ログに記録されるので注意してください。
WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
RHEL で firewalld ログファイルをローテーションします
以前は、RHEL では firewalld ログファイルがローテーションされませんでした。そのため、ログファイル /var/log/firewalld が無限に増大していました。今回の更新で、ログローテーション設定ファイル /etc/logrotate.d/firewalld が firewalld サービスに追加され、この結果、/var/log/firewalld ログがローテーションされるようになり、/etc/logrotate.d/firewalld ファイルのローテーション設定をユーザーがカスタマイズできるようになりました。
