13장. 서버 및 서비스
ErrorPolicy 지시문의 유효성 검사
시작 시 ErrorPolicy 구성 지시문의 유효성이 검사되지 않았으며 의도하지 않은 기본 오류 정책을 경고 없이 사용할 수 있습니다. 이제 시작 시 지시문의 유효성이 검사되고 구성된 값이 올바르지 않은 경우 기본값으로 재설정됩니다. 의도한 정책이 사용되거나 경고 메시지가 기록됩니다.
CUPS에서 기본적으로 SSLv3 암호화를 비활성화
이전에는 CUPS 스케줄러에서 SSLv3 암호화를 비활성화할 수 없어 SSLv3에 대한 공격에 취약했습니다. 이 문제를 해결하기 위해
cupsd.conf SSLOptions 키워드는 AllowRC4 및 AllowSSL3 의 두 가지 새로운 옵션을 포함하도록 확장되었으며 각 옵션은 cupsd 에서 이름이 지정된 기능을 사용할 수 있습니다. 새로운 옵션은 /etc/cups/client.conf 파일에서도 지원됩니다. 기본값은 이제 cupsd 에 대해 RC4 및 SSL3을 모두 비활성화하는 것입니다.
이제 cups 에서 프린터 이름에 밑줄을 줄 수 있습니다.
이제
cups 서비스를 통해 사용자가 로컬 프린터 이름에 밑줄 문자(_)를 포함할 수 있습니다.
tftp-server 패키지에서 불필요한 종속성 제거
이전에는 tftp-server 패키지를 설치할 때 추가 패키지가 기본적으로 설치되었습니다. 이번 업데이트를 통해 과도한 패키지 종속성이 제거되었으며 tftp-server 을 설치할 때 불필요한 패키지가 더 이상 기본적으로 설치되지 않습니다.
더 이상 사용되지 않는 /etc/sysconfig/conman 파일이 삭제됨
systemd 관리자를 도입하기 전에 서비스에 대한 다양한 제한을 /etc/sysconfig/conman 파일에 구성할 수 있습니다. systemd 로 마이그레이션한 후/etc/sysconfig/conman 이 더 이상 사용되지 않으므로 제거되었습니다. 제한 및 기타 데몬 매개변수(예: LimitCPU=, LimitDATA= 또는 LimitCORE=)를 설정하려면 conman.service 파일을 편집합니다. 자세한 내용은 systemd.exec(5) 매뉴얼 페이지를 참조하십시오. 또한 새로운 변수 LimitNOFILE=10000이 systemd.service 파일에 추가되었습니다. 이 변수는 기본적으로 주석 처리됩니다. systemd 구성을 변경한 후 변경 사항을 적용하려면 systemctl daemon-reload 명령을 실행해야 합니다.
mod_nss 버전 1.0.11로 리베이스
mod_nss packages 가 업스트림 버전 1.0.11로 업그레이드되어 이전 버전에 대한 여러 버그 수정 및 개선 사항을 제공합니다. 특히
mod_nss 는 TLSv1.2를 활성화할 수 있으며 SSLv2가 완전히 제거되었습니다. 또한 일반적으로 가장 안전한 것으로 간주되는 암호에 대한 지원이 추가되었습니다.
ScanSetting 데몬에서 DHE 및 ECDHE 암호화 제품군 지원
ECDHE
데몬 은 Diffie-Hellman Exchange (DHE) 및 Elliptic Curve Diffie-Hellman Exchange (ECDHE) 키 교환 프로토콜을 기반으로 하는 암호화 제품군을 지원합니다.
sftp로 업로드한 파일에 대해 권한을 설정할 수 있습니다.
일관되지 않은 사용자 환경 및 엄격한
CloudEvent 설정으로 인해 sftp 유틸리티를 사용하여 업로드할 때 파일에 액세스할 수 없습니다. 이번 업데이트를 통해 관리자는 sftp 를 사용하여 업로드한 파일에 대해 정확한 권한을 강제 적용할 수 있으므로 설명된 문제가 발생하지 않습니다.
ssh-ldap-helper에서 사용하는 LDAP 쿼리를 조정할 수 있습니다.
모든 LDAP 서버가 ssh-ldap-helper 툴에서 예상대로 기본 스키마를 사용하는 것은 아닙니다. 이번 업데이트를 통해 관리자는 ssh-ldap-helper 에서 사용하는 LDAP 쿼리를 조정하여 다른 스키마를 사용하는 서버에서 공개 키를 가져올 수 있습니다. 기본 기능은 그대로 유지됩니다.
10.0.0.1 유틸리티의 새 createolddir 지시문
olddir 디렉터리를 자동으로 생성할 수 있도록 새 10.0.0.1 createolddir 지시문이 추가되었습니다. 자세한 내용은 skopeo(8) 매뉴얼 페이지를 참조하십시오.
/etc/cron.daily/logrotate 의 오류 메시지는 더 이상 /dev/null로 리디렉션되지 않습니다.
이제 매일 cronjob에서 생성된 오류 메시지가 자동으로 삭제되는 대신
root 사용자로 전송됩니다. /etc/cron.daily/logrotate 스크립트는 RPM에 구성 파일로 표시됩니다.
SEED 및 IDEA 기반 알고리즘은 mod_ssl로 제한됨
Apache HTTP 서버의
mod_ssl 모듈에서 기본적으로 활성화된 암호화 제품군 세트는 보안을 개선하기 위해 제한됩니다. SEED 및 IDEA 기반 암호화 알고리즘은 mod_ssl 의 기본 구성에서 더 이상 활성화되지 않습니다.
Apache HTTP Server에서 UPN 지원
Microsoft User Principle Name과 같이 SSL/TLS 클라이언트 인증서의
주체 대체 이름 부분에 저장된 이름은 이제 SSLUserName 지시문에서 사용할 수 있으며 이제 mod_ssl 환경 변수에서 사용할 수 있습니다. 사용자는 이제 UPN을 사용하여 Common Access Card(CAC) 또는 인증서로 인증하고 Apache의 액세스 제어와 애플리케이션의 REMOTE_USER 환경 변수 또는 유사한 메커니즘에서 사용하는 인증된 사용자 정보로 UPN을 사용할 수 있습니다. 결과적으로 사용자는 UPN을 사용하여 인증을 위해 SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0 을 설정할 수 있습니다.
mod_dav 잠금 데이터베이스는 이제 mod_dav_fs 모듈에서 기본적으로 활성화되어 있습니다.
Apache HTTP
mod_dav _ fs 모듈이 로드되면 mod_dav 잠금 데이터베이스가 기본적으로 활성화됩니다. 기본 위치 ServerRoot/davlockdb 는 DAVLockDB 설정 지시문을 사용하여 덮어쓸 수 있습니다.
mod_proxy_wstunnel 에서 WebSockets 지원
이제 Apache HTTP
mod_proxy_wstunnel 모듈이 기본적으로 활성화되어 있으며 wss:// 스키마의 SSL 연결 지원이 포함됩니다. 또한 mod_rewrite 지시문에서 ws:// 스키마를 사용할 수 있습니다. 이를 통해 proxy 모듈에서 WebSockets를 mod_rewrite 하고 WebSockets를 활성화할 수 있습니다.
Oracle 데이터베이스 서버에 최적화된 Tuned 프로파일이 포함되어 있습니다.
Oracle 데이터베이스 로드에 특별히 최적화된 새로운 Oracle Tuned 프로파일을 사용할 수 있습니다.
Oracle 프로필은 enterprise-storage 프로필을 기반으로 하지만 Oracle 데이터베이스 요구 사항에 따라 커널 매개 변수를 수정하고 투명한 대규모 페이지를 전환합니다.
