第 9 章 服务器和服务
默认 httpd 配置中的限制密码套件
在这个更新中,httpd 网页服务器中的 mod_ssl 模块的默认配置不再支持使用单一 DES、IDEA 或 SEED 加密算法的 SSL 密码套件。
允许在 Cyrus IMAP 服务器中配置 SSL 协议
使用这个更新可配置 Cyrus IMAP 服务器允许的安全套接字层(SSL)。例如:用户可禁用 SSLv3 连接,并因此减小 POODLE 漏洞的影响。
dstat 命令现在支持符号链接
已改进
dstat
命令,支持使用符号链接作为其参数。这样可让用户动态指定引导设备名称,保证 dstat
在热插拔和类似操作后显示正确信息。注:必须在 /dev/disk/
目录中指定符号链接,且在该命令中必须使用完整路径。
将 rng-tools 恢复到版本 5
已将提供随机数字生成器用户空间程序 rng-tools 软件包升级为 upstream 版本 5。这个更新可在 Intel x86- 和基于 Intel 64 的 EM64T/AMD64 CPU 型号中默认启用随机数字生成器守护进程(rngd),并利用 RDRAND 硬件随机数字生成器指令提供的熵。增强的更新还会增加 Intel 架构硬件的性能和安全性,特别是服务器应用程序。
加强 nm-connection-editor
这个更新加强了 nm-connection-editor 功能,现在提供更简便的 IP 地址和路由编辑。此外,nm-connection-editor 还尝试自动探测并标出所有拼写错误和错误配置。
现在可以将 ypbind 设定为具体重新绑定间隔
NIS 绑定进程
ypbind
一般是每 15 分钟查看最快的 NIS 服务器,但很多防火墙的默认超时时间为 10 分钟。这样 ypbind
在尝试重新绑定时会造成间歇性失败。这个更新为 ypbind
添加了可调节选项 -r
,以便以秒为单位设定具体重新绑定间隔。
恢复 squid 软件包
已将 squid 软件包升级至 upstream 版本 3.1.23,与上一个版本相比,该版本提供大量 bug 修复和改进。此外,这个更新还添加了 HTTP/1.1 POST 和 PUT 响应支持,但不会再 squid 中添加信息。
dhcpd 可处理 dhcp 选项 97 - 客户端机器识别符(pxe-client-id)
现在可以根据发送到选项 97 中的具体客户端的识别符为其保留(静态分配)IP 地址。例如:
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }
现在可禁用 Tomcat 日志文件轮换
默认情况下,Tomcat 日志文件在网页后首次执行写入操作后轮换,并将该文件命名为 {prefix}{date}{suffix},其中
date
格式为 YYYY-MM-DD。为允许禁用 Tomcat 日志文件轮换添加了参数 rotatable
。如果将该参数设定为 false
,则不会轮换日志文件,且其文件名为 {prefix}{suffix}。默认值为 true
。
cups 支持故障转移
现在可将单一打印机中的直接任务故障转移至其他打印机中,而不是使用 CUPS 中内置的打印机负载平衡功能。可将任务直接指向第一个工作打印机,即首选打印机,而其他打印机只在首选打印机无法工作时使用。
openssh 支持调整 LDAP 查询
管理员现在可以调整轻型目录访问协议(LDAP)查询,以便从使用不同架构的服务器中获取公钥。
在 cupsd.conf(5) Manual Page 中添加 ErrorPolicy 描述
已在 cupsd.conf(5) 手册页中添加附带支持值的 ErrorPolicy 指令描述。ErrorPolicy 指令规定当后端无法向打印机发送打印任务时使用的默认策略。
允许在 dovecot
中配置 SSL 协议
使用这个更新可配置 dovecot 允许的安全套接字层(SSL)。例如:用户可禁用 SSLv3 连接,并因此减小 POODLE 漏洞的影响。出于安全考虑,现在还默认禁用 SSLv2 和 SSLv3,如果用户需要它们,则需手动启用。
openssh 支持在 PermitOpen 选项中使用通配符
sshd_config 文件中的 PermitOpen 选项现在支持通配符。
tomcatjss 支持 TLS 版本 1.1 和 1.2
已将 Tomcat 更新为支持使用 Java 安全服务的传输层安全性加密协议版本 1.1(TLSv1.1)和传输层安全性加密协议版本 1.2(TLSv1.2)。
squid 支持隐藏或重新写入 HTTP 标头
Squid 软件包现在内置
--enable-http-violations
选项,并允许用户隐藏或重新写入标头。
bind 现在支持 RPZ-NSIP 和 RPZ-NSDNAME
现在可在 BIND 配置的响应策略区(RPZ)中使用的 RPZ-NSIP 和 RPZ-NSDNAME 记录。
openssh 支持上传文件中的强制权限
在这个更新中,OpenSSH 可以使用安全文件传输协议(SFTP)为新上传的文件强制提供权限。
Mailman 现在包含加强的 DMARC 缓解功能
在这个更新中,Mailman 引进了一些加强的基于域的信息认证、报告 & 一致性(DMARC)缓解功能。例如:可将 Mailman 配置将发信人与域名密钥识别邮件(DKIM)签名对应,同时现在可以正确处理来自使用
reject
DMARC 策略域转发的信息。