9장. 서버 및 서비스
기본 httpd 설정에서 제한된 암호 그룹
이번 업데이트에서 httpd 웹 서버에 있는 mod_ssl 모듈의 기본 설정은 단일 DES, IDEA, SEED 암호화 알고리즘을 사용하여 SSL 암호 그룹을 더이상 지원하지 않습니다.
Cyrus IMAP 서버에서 설정 가능한 허용된 SSL 프로토콜
이번 업데이트에서 Cyrus IMAP 서버가 허용하는 SSL (Secure Sockets Layer) 프로토콜을 설정할 수 있습니다. 예를 들어 사용자는 SSLv3 연결을 비활성화할 수 있으므로 POODLE 취약성의 영향을 완화시킬 수 있습니다.
dstat 명령의 심볼릭 링크 지원
매개 변수 값으로 심볼릭 링크의 사용을 지원하기 위해
dstat
명령이 강화되었습니다. 이는 사용자가 부트 장치 이름을 동적으로 지정할 수 있게하여 핫 플러그 및 유사한 동작 후 dstat
가 올바른 정보를 표시할 수 있게 합니다. 심볼릭 링크는 /dev/disk/
디렉토리에 지정해야 하며 전체 경로는 명령과 함께 사용해야 함에 유의합니다.
버전 5로 rng-tools 리베이스
난수 생성기 사용자 공간 유틸리티를 제공하는 rng-tools 패키지는 업스트림 버전 5로 업그레이드되었습니다. 이번 업데이트에서는 Intel x86- 및 Intel 64-based EM64T/AMD64 CPU 모델에서 기본값으로 난수 생성기 데몬 (rngd)을 활성화하고 있으며 RDRAND 하드웨어 난수 생성기 명령에서 지정된 엔트로피의 장점을 취합니다. 강화된 업데이트는 Intel 아키텍처 하드웨어, 특히 서버 애플리케이션에서 성능 및 보안을 향상시킵니다.
nm-connection-editor로 기능 개선
이번 업데이트에서는 nm-connection-editor 기능이 개선되어 IP 주소 및 경로를 쉽게 편집하고 오타 및 잘못된 설정을 자동으로 감지 및 표시할 수 있습니다.
ypbind는 특정 리바인딩 간격으로 설정할 수 있음
NIS 바인딩 프로세스
ypbind
는 일반적으로 15 분 마다 가장 빠른 NIS 서버를 확인하지만 많은 방화벽에 기본값으로 10분의 제한 시간이 설정되어 있습니다. 이는 리바인딩시 ypbind
의 일시적인 오류의 원인이 될 수 있습니다. 이번 업데이트에는 ypbind
에 조정 가능한 옵션 -r
이 추가되어 특정 리바인딩 간격 (초 단위)을 설정할 수 있습니다.
squid 패키지 리베이스
squid 패키지는 업스트림 버전 3.1.23으로 업그레이드되어 이전 버전에서의 몇 가지 버그 수정 및 개선 사항을 제공합니다. 그 중에서도 이번 업데이트에는 squid로 메세지 본문 없이 HTTP/1.1 POST 및 PUT 응답에 대한 지원이 추가되어 있습니다.
dhcpd의 dhcp 옵션 97 처리 - 클라이언트 머신 ID (pxe-client-id)
옵션 97에 전송된 ID에 기초하여 특정 클라이언트의 IP 주소 (정적 할당)를 확보할 수 있습니다. 예:
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }
Tomcat 로그 파일 회전을 비활성화할 수 있음
기본값으로 Tomcat 로그 파일은 자정 이후 발생하는 첫 번째 쓰기 작업에 회전하여 {prefix}{date}{suffix}라는 파일 이름이 지정됩니다. 여기서
date
의 형식은 YYYY-MM-DD입니다. Tomcat 로그 파일 회전을 비활성화하기 위해 매개변수 rotatable
이 추가되었습니다. 이 매개변수가 false
로 설정되어 있을 경우 로그 파일은 회전하지 않게 되고 파일 이름은 {prefix}{suffix}가 됩니다. 기본값은 true
입니다.
cups는 장애 조치를 지원
CUPS에 내장된 프린터 간에 로드 밸런싱을 사용하는 대신 다른 프린터로 장애 조치할 수 있는 단일 프린터에 작업을 지시할 수 있습니다. 선호하는 프린터가 사용 불가능할 경우에만 사용되는 다른 프린터, 선호하는 프린터, 첫 번째 작동하는 프린터 세트에 작업을 지시할 수 있습니다.
openssh는 LDAP 쿼리 조정을 지원
관리자는 다른 스키마를 사용하는 서버에서 공개 키를 얻기 위해 LDAP (Lightweight Directory Access Protocol) 쿼리를 조정할 수 있습니다.
ErrorPolicy 설명이 cupsd.conf(5) man 페이지에 추가됨
지원되는 값을 갖는 ErrorPolicy 지시문 설명이 cupsd.conf(5) man 페이지에 추가되었습니다. ErrorPolicy 지시문은 백엔드가 인쇄 작업을 프린터로 보낼 수 없는 경우에 사용되는 기본 정책을 정의합니다.
dovecot
에 설정 가능한 SSL 프로토콜 허용
이번 업데이트에서 dovecot가 허용하는 SSL (Secure Sockets Layer) 프로토콜의 종류를 설정할 수 있습니다. 예를 들어 사용자는 SSLv3 연결을 비활성화할 수 있으므로 POODLE 취약성의 영향을 완화시킬 수 있습니다. 보안 상의 이유로 SSLv2 및 SSLv3는 기본값으로 비활성화되어 있으며 필요할 경우 사용자는 수동으로 사용 설정해야 합니다.
openssh는 PermitOpen 옵션의 와일드 카드 지원
sshd_config 파일에 있는 PermitOpen 옵션은 와일드카드를 지원합니다.
tomcatjss는 TLS 버전 1.1 및 1.2를 지원
Java Security Services를 사용한 TLSv1.1 (Transport Layer Security 암호화 프로토콜 버전 1.1) 및 TLSv1.2 (Transport Layer Security 암호화 프로토콜 버전 1.2) 지원을 위해 Tomcat이 업데이트되었습니다.
squid는 HTTP 헤더 숨기기 또는 다시 쓰기 지원
squid 패키지는
--enable-http-violations
옵션으로 빌드되어 사용자가 HTTP 헤더를 숨기거나 다시 쓰기할 수 있게 되어 있습니다.
바인딩은 RPZ-NSIP 및 RPZ-NSDNAME을 지원
BIND 설정에서 RPZ (Response Policy Zone)와 함께 RPZ-NSIP 및 RPZ-NSDNAME 레코드를 사용할 수 있습니다.
openssh는 업로드한 파일에서 정확한 권한 강제를 지원
이번 업데이트에서 OpenSSH는 SFTP (Secure File Transfer Protocol)를 사용하여 새로 업로드된 파일에 정확한 권한을 강제할 수 있습니다.
Mailman에 기능 강화된 DMARC 완화 기능 포함
이번 업데이트에서 Mailman에는 기능 강화된 DMARC (Domain-based Message Authentication, Reporting & Conformance) 완화 기능을 소개하고 있습니다. 예를 들어 DKIM (Domain Key Identified Mail) 서명에 대한 전송자 정렬을 인식하기 위해 Mailman을 설정할 수 있으며
reject
DMARC 정책을 사용하는 도메인에서 전송된 메세지를 제대로 처리할 수 있습니다.