Capítulo 13. Servidores e Serviços
A diretiva ErrorPolicy está agora validada
A diretiva de configuração ErrorPolicy não estava validada mediante inicialização e uma política de erro padrão não intencional poderia ser usada sem aviso. A diretiva está validada agora mediante inicialização e restauração como padrão, caso o valor configurado esteja incorreto. A polícia proposta é usada ou uma mensagem de aviso é registrada.
CUPS desabilita a criptografia SSLv3 por padrão
Anteriormente, não era possível desabilitar a criptografia SSLv3 no agendador CUPS, deixando-o vulnerável a ataques contra SSLv3. Para resolver este problema, a palavra-chave
cupsd.conf SSLOptions foi estendida para incluir duas novas opções, AllowRC4 e AllowSSL3, ambas permitindo o recurso nomeado no arquivo cupsd. As novas opções também possuem suporte no arquivo /etc/cups/client.conf. A medida padrão agora é desabilitar tanto RC4 e SSL3 para cupsd.
cups permite sublinhado em nomes de impressora.
O serviço
cups agora permite aos usuários incluir o caractere de sublinhado (_) nos nomes de impressora locais.
Dependências desnecessárias removidas do pacote tftp-server
Anteriormente, um pacote adicional era instalado por padrão durante a instalação do pacote tftp-server. Com esta atualização, a dependência do pacote supérfluo foi removida e o pacote desnecessário não é mais instalado por padrão durante a instalação do tftp-server.
O arquivo /etc/sysconfig/conman preterido foi removido
Antes de introduzir o gerenciador
systemd, vários limites para os serviços podiam ser configurados no arquivo /etc/sysconfig/conman. Após migrar para systemd, /etc/sysconfig/conman passou a não ser mais usado e, portanto, foi removido. Para estabelecer limites e outros parâmetros daemon, tais como LimitCPU=, LimitDATA= ou LimitCORE=, edite o arquivo conman.service. Para mais informações, consulte a página manual systemd.exec(5). Além disso, uma nova variável LimitNOFILE=10000 foi adicionada ao arquivo systemd.service e está convertida em comentário por padrão. Observe que após fazer quaisquer alterações à configuração systemd, o comando systemctl daemon-reload precisa ser executado para que as alterações passem a funcionar.
Rebase do mod_nss para a versão 1.0.11
mod_nss packages foi atualizado para a versão upstream 1.0.11, a qual fornece várias correções de erros e aprimoramentos em relação à versão anterior.
mod_nss agora habilita, em especial, TLSv1.2 e SSLv2 foi completamente removido. Além disto, foi adicionado suporte para codificações geralmente consideradas mais seguras.
O daemon vstfpd fornece suporte aos conjuntos de codificação DHE e ECDHE
O daemon
vsftpd agora fornece suporte aos conjuntos de codificação baseados no protocolo de troca de chaves Diffie–Hellman Exchange (DHE) e Elliptic Curve Diffie–Hellman Exchange (ECDHE).
Permissões podem ser definidas para arquivos carregados com sftp
Os ambientes de usuários inconsistentes e as configurações
umask estritas podiam resultar em arquivos inacessíveis durante o carregamento ao fazer uso do utilitário sftp. Com esta atualização, o administrador é capaz de forçar permissões exatas para os arquivos carregados usando sftp, evitando, assim, o problema descrito.
Consultas LDAP usadas por ssh-ldap-helper podem ser ajustadas
Nem todos os servidores LDAP utilizam um esquema padrão como esperado pela ferramenta
ssh-ldap-helper. Esta atualização permite que o administrador ajuste a consulta LDAP usada por ssh-ldap-helper para obter chaves públicas de servidores usando um esquema diferente. A funcionalidade padrão mantém-se inalterada.
Nova diretiva createolddir no utilitário logrotate
Uma nova diretiva
createolddir no logrotate foi adicionada para habilitar a criação automática do diretório olddir. Para mais informações, consulte a página manual logrotate(8).
As mensagens de erro do /etc/cron.daily/logrotate não são mais redirecionadas a /dev/null
As mensagens de erro geradas por cronjob diários do
logrotate agora são enviadas ao usuário root em vez de serem descartadas silenciosamente. Além disto, o script /etc/cron.daily/logrotate é marcado como um arquivo de configuração no RPM.
Algoritmos baseados em SEED e IDEA estão restritos em mod_ssl
Os conjuntos de codificações habilitados por padrão no módulo
mod_ssl do Apache HTTP Server foram restringidos para melhorar a segurança. Os algoritmos de criptografia baseada em SEED e IDEA não são mais habilitados na configuração padrão do mod_ssl.
Apache HTTP Server passa a fornecer suporte a UPN
Os nomes armazenados na porção
subject alternative name dos certificados de cliente SSL/TLS, como o Microsoft User Principle Name, podem ser usados agora a partir da diretiva SSLUserName e estão disponíveis nas variáveis de ambiente mod_ssl. Os usuários podem agora ser autenticados com seus Common Access Card (CAC) ou certificados com um UPN dentro e ter seus UPN usados como informações de usuário autenticado - consumidos por ambos, o controle de acesso no Apache e usando a variável de ambiente REMOTE_USER ou um mecanismo semelhante nos aplicativos. Como resultado, os usuários podem agora definir SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0 para autenticação usando UPN.
O banco de dados de bloqueio mod_dav está habilitado por padrão no módulo mod_dav_fs
O banco de dados de bloqueio
mod_dav passa a ser habilitado por padrão agora, se o módulo mod_dav_fs do Apache HTTP estiver carregado. O local padrão ServerRoot/davlockdb pode ser substituído usando a diretiva de configuração DAVLockDB.
mod_proxy_wstunnel passa a fornecer suporte a WebSockets
O módulo
mod_proxy_wstunnel do Apache HTTP agora está habilitado por padrão e inclui suporte a conexões SSL no esquema wss://. Além disto, é possível usar o esquema ws:// nas diretivas mod_rewrite. Isto permite o uso de WebSockets como um destino para mod_rewrite e a habilitação de WebSockets no módulo proxy.
