10장. 서버 및 서비스
기본 httpd 구성의 제한된 Cipher 제품군
이번 업데이트를 통해 httpd 웹 서버의 mod_ssl 모듈의 기본 구성에서 더 이상 단일 DES, IDEA 또는 SEED 암호화 알고리즘을 사용하여 SSL 암호화 제품군을 지원할 수 없습니다.
Cyrus Cryostat 서버에서 구성 가능한 SSL 프로토콜
이번 업데이트를 통해 Cyrus Cryostat 서버에서 허용하는 SSL(Secure Sockets Layer) 프로토콜을 구성할 수 있습니다. 예를 들어 사용자는 SSLv3 연결을 비활성화하여 POODLE 취약점의 영향을 완화할 수 있습니다.
dstat 명령에서 심볼릭 링크 지원
심볼릭 링크를 매개 변수 값으로 사용하도록 dstat 명령이 개선되었습니다. 이를 통해 사용자는 부팅 장치 이름을 동적으로 지정할 수 있으므로 핫 플러그 및 유사한 작업 후에 dstat 가 올바른 정보를 표시할 수 있습니다. 심볼릭 링크는
/dev/disk/ 디렉터리에 지정해야 하며 전체 경로를 명령과 함께 사용해야 합니다.
버전 5에 따라 RNG-tools 업데이트
임의 번호 생성기 사용자 공간 유틸리티를 제공하는 rng-tools 패키지가 업스트림 버전 5로 업그레이드되었습니다. 이번 업데이트에서는 기본적으로 Intel x86 및 Intel 64 기반 EM64T/AMD64 CPU 모델에서 난수 생성기 데몬(rngd)을 활성화하고 RDRAND 하드웨어 임의 번호 생성기 명령에서 제공하는 엔트로피를 활용합니다. 개선된 업데이트는 Intel 아키텍처 하드웨어, 특히 서버 애플리케이션에서 성능 및 보안을 향상시킵니다.
NetworkManager 연결 편집기 사용 개선 사항
이번 업데이트에서는 nm-connection-editor가 개선되어 이제 IP 주소 및 경로를 더 쉽게 편집할 수 있습니다. 또한 nm-connection-editor는 오타 및 잘못된 구성을 자동으로 감지하고 강조 표시합니다.
이제 ypbind를 특정 재바인 간격으로 설정할 수 있습니다.
NIS 바인딩 프로세스 ypbind 는 일반적으로 15분마다 가장 빠른 NIS 서버를 확인했지만 많은 방화벽의 기본 제한 시간은 10분입니다. 이로 인해 다시 바인딩하려고 할 때 ypbind 의 간헐적으로 오류가 발생했습니다. 이번 업데이트에서는 특정 재바인딩 간격을 초 단위로 설정할 수 있는 조정 가능 옵션
-r )를 ypbind 에 추가합니다.
squid 패키지 리베이스
squid 패키지가 업스트림 버전 3.1.23으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 또한 이번 업데이트에서는 HTTP/1.1 POST 및 PUT 응답에 대한 지원이 추가되고 메시지 본문이 없습니다.
dhcpd handles dhcp option 97 - Client Machine Identifier (pxe-client-id)
이제 옵션 97로 전송된 식별자에 따라 특정 클라이언트에 대해 IP 주소를 예약(정적적으로 할당)할 수 있습니다.
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }이제 Tomcat 로그 파일 순환을 비활성화할 수 있습니다.
기본적으로 Tomcat 로그 파일은 자정 후에 발생하는 첫 번째 쓰기 작업에서 순환되고 {prefix}{date}{suffix} 파일 이름이 지정됩니다. 여기서
date 형식은 YYYY-MM-DD입니다. Tomcat 로그 파일 순환을 비활성화할 수 있도록 매개변수 가 추가되었습니다. 이 매개변수가 false 로 설정되면 로그 파일이 순환되지 않고 파일 이름은 {prefix}{suffix} 이 됩니다. 기본값은 true입니다.
cups에서 페일오버 지원
CUPS에 내장된 프린터 간에 부하 분산을 사용하는 대신 다른 프린터로 장애 조치(failover)를 통해 작업을 단일 프린터로 보낼 수 있습니다. 작업은 세트의 첫 번째 작업 프린터로 전달될 수 있습니다. 기본 프린터는 기본 프린터를 사용할 수 없는 경우에만 다른 프린터를 사용합니다.
OpenSSH는 LDAP 쿼리 조정 지원
관리자는 이제 다른 스키마를 사용하는 서버에서 공개 키를 가져오도록 LDAP(Lightweight Directory Access Protocol) 쿼리를 조정할 수 있습니다.
ErrorPolicy 설명이 cupsd.conf(5) 매뉴얼 페이지에 추가되었습니다.
지원되는 값이 있는 ErrorPolicy 지시문에 대한 설명이 cupsd.conf(5) 매뉴얼 페이지에 추가되었습니다. ErrorPolicy 지시문은 백엔드가 프린터에 출력 작업을 보낼 수 없을 때 사용되는 기본 정책을 정의합니다.
dovecot에서 구성 가능한 SSL 프로토콜
이번 업데이트를 통해 SSL(Secure Sockets Layer) 프로토콜 dovecot를 구성할 수 있습니다. 예를 들어 사용자는 SSLv3 연결을 비활성화하여 POODLE 취약점의 영향을 완화할 수 있습니다. 보안 문제로 인해 SSLv2 및 SSLv3도 기본적으로 비활성화되어 사용자가 필요한 경우 수동으로 허용해야 합니다.
OpenSSH는 PermitOpen 옵션에 대한 와일드카드 지원
sshd_config 파일의 PermitOpen 옵션은 이제 와일드카드를 지원합니다.
tomcatjss는 TLS 버전 1.1 및 1.2를 지원합니다.
Tomcat은 Java Security Services를 사용하여 TLSv1.1(Transport Layer Security Encryption Protocol version 1.1) 및 TLSv1.2(Transport Layer Security cryptographic protocol version 1.2)를 지원하도록 업데이트되었습니다.
squid는 HTTP 헤더 숨기기 또는 재작성 지원
이제 squid 패키지가 --enable-http-violations 옵션을 사용하여 빌드되고 사용자가 HTTP 헤더를 숨기거나 다시 작성할 수 있습니다.
bind에서 RPZ-NSIP 및 RPZ-NSDNAME 지원
이제 RPZ-NSIP 및 RPZ-NSDNAME 레코드를 BIND 구성의RPZ(응답 정책 영역)와 함께 사용할 수 있습니다.
OpenSSH는 업로드된 파일에 대한 정확한 권한 강제 지원
이번 업데이트를 통해 OpenSSH는 SFTP(Secure File Transfer Protocol)를 사용하여 새로 업로드되는 파일에 대한 정확한 권한을 강제 적용할 수 있습니다.
mailman에 향상된 CryostatRC 완화 기능이 포함되어 있습니다.
이번 업데이트를 통해 Mailman은 몇 가지 향상된 Domain-based Message Authentication, Reporting & Conformance (DMARC) 완화 기능을 도입했습니다. 예를 들어, mailman은 DKIM(Domain Key Identified mail) 서명에 대한 렌더링 정렬을 인식하도록 구성할 수 있으며 이제
reject CryostatRC 정책이 있는 도메인에서 전달된 메시지를 올바르게 처리할 수 있습니다.
