第 10 章 服务器和服务
默认 httpd 配置中的 restricted Cipher Suites
在这个版本中,httpd Web 服务器中的 mod_ssl 模块的默认配置不再支持使用单一 DES、IDEA 或 SEED 加密算法的 SSL 密码套件。
在 Cyrus IMAP 服务器中可配置 SSL 协议
有了这个更新,可以配置 Cyrus IMAP 服务器允许哪些安全套接字层(SSL)协议。例如,用户可以禁用 SSLv3 连接,从而缓解 POODLE 漏洞的影响。
dstat 命令现在支持符号链接
dstat 命令已被改进,以支持将符号链接用作参数值。这可让用户动态指定引导设备名称,这样可确保 dstat 在热插和类似的操作后显示正确的信息。请注意,符号链接必须在
/dev/disk/ 目录中指定,并且必须使用完整路径。
rng-tools rebase 到版本 5
提供随机数生成器用户空间工具的 rng-tools 软件包已升级到上游版本 5。这个更新默认启用 Intel x86- 和 Intel 64 基于 EM64T/AMD64 CPU 模型上的随机数生成器守护进程(rngd),并利用 RDRAND 硬件随机数字生成器指令提供的熵。增强更新还提高了 Intel 架构硬件上的性能和安全性,特别是在服务器应用程序中。
NetworkManager 连接编辑器可用性改进
这个版本改进了 nm-connection-editor,现在可以更轻松地编辑 IP 地址和路由。另外,nm-connection-editor 会尝试自动检测并突出显示拼写错误和不正确的配置。
ypbind 现在可以设置为特定的 rebind 间隔
NIS 绑定过程 ypbind 通常每 15 分钟检查一次最快的 NIS 服务器,但很多防火墙的默认超时时间为 10 分钟。这会导致在尝试重新绑定时 ypbind 间歇性失败。在这个版本中,向 ypbind 添加了一个可调选项,该选项会以秒为单位设置特定的重新绑定间隔。
squid 软件包的变基
squid 软件包已升级到上游版本 3.1.23,它提供很多程序错误修复和增强。此外,此更新还添加了对 HTTP/1.1 POST 和 PUT 响应的支持,而没有消息正文到 squid。
dhcpd 处理 dhcp 选项 97 - 客户端机器标识符(pxe-client-id)
现在,可以根据在选项 97 中发送的标识符,为特定客户端保留(静态分配)IP 地址;例如:
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }Tomcat 日志文件轮转现在可以禁用
默认情况下,Tomcat 日志文件会在午夜后发生的第一个写入操作中轮转,并给出文件名 {prefix}{date}{suffix}{suffix},其中 date YYYY-MM-DD
的格式是 YYYY-MM-DD。要允许禁用 Tomcat 日志文件轮转,添加了参数 rotatable。如果此参数设为 false,则日志文件不会被轮转,文件名将是 {prefix}{suffix}。默认值为 true。
CUPS 支持故障切换
现在,可以将作业定向到具有故障转移到其他打印机的单个打印机,而不必在 CUPS 中内置的打印机中使用负载平衡。只有首选打印机不可用时,才可将作业定向到集合的第一个工作打印机(首选打印机),使用其他打印机。
OpenSSH 支持调整 LDAP 查询
管理员现在可以调整轻量级目录访问协议(LDAP)查询,以从使用不同的模式的服务器获取公钥。
ErrorPolicy 描述添加到 cupsd.conf (5)手册页
在 cupsd.conf (5)手册页中添加了带有支持值的 ErrorPolicy 指令的描述。ErrorPolicy 指令定义后端无法向打印机发送打印作业时使用的默认策略。
允许的 SSL 协议在 dovecot中配置
在这个版本中,可以配置哪些安全套接字层(SSL)协议 dovecot 允许。例如,用户可以禁用 SSLv3 连接,从而缓解 POODLE 漏洞的影响。由于安全问题,现在默认也禁用了 SSLv2 和 SSLv3,如果用户需要它们,则必须手动允许它们。
OpenSSH 支持 PermitOpen 选项的通配符
sshd_config 文件中的 PermitOpen 选项现在支持通配符。
tomcatjss 支持 TLS 版本 1.1 和 1.2
Tomcat 已更新,以支持使用 Java 安全服务支持传输层安全协议版本 1.1 (TLSv1.1)和传输层安全协议版本 1.2 (TLSv1.2)。
Squid 支持隐藏或重写 HTTP 标头
squid 软件包现在使用 --enable-http-violations 选项构建,并允许用户隐藏或重写 HTTP 标头。
bind 支持 RPZ-NSIP 和 RPZ-NSDNAME
RPZ-NSIP 和 RPZ-NSDNAME 记录现在可以与 BIND 配置中的 Response Policy Zone (RPZ)一起使用。
OpenSSH 支持对上传的文件强制权限
有了这个更新,OpenSSH 可以强制对使用安全文件传输协议(SFTP)上传的文件有精确的权限。
mailman 现在包括增强的 DMARC 缓解功能
有了这个更新,mailman 引入了几个基于域的增强的消息身份验证、报告和一致性(DMARC)缓解功能。例如,可将 Mailman 配置为识别域密钥识别邮件(DKIM)签名发送者对齐,现在可以正确处理
拒绝 DMARC 策略的域转发的消息。
