第 13 章 服务器和服务
ErrorPolicy 指令现已验证
在启动时没有验证 ErrorPolicy 配置指令,在没有警告的情况下可以使用意外的默认错误策略。现在,如果配置的值不正确,则指令在启动时验证,并重置为默认值。使用预期的策略,或者记录警告信息。
CUPS 现在默认禁用 SSLv3 加密
在以前的版本中,无法在 CUPS 调度程序中禁用 SSLv3 加密,这容易受到 SSLv3 攻击的影响。要解决这个问题,
cupsd.conf SSLOptions 关键字已扩展为包括两个新选项 AllowRC4 和 AllowSSL3,各自在 cupsd 中启用命名功能。/etc/cups/client.conf 文件中也支持新选项。现在,默认是为 cupsd 禁用 RC4 和 SSL3。
CUPS 现在允许在打印机名称中进行下划线
cups 服务现在允许用户在本地打印机名称中包含下划线字符(_)。
不需要的依赖项从 tftp-server 软件包中删除
在以前的版本中,默认安装 tftp-server 软件包时会默认安装附加软件包。在这个版本中,删除了 superfluous 软件包依赖项,在安装 tftp-server 时不再安装不需要的软件包。
弃用的 /etc/sysconfig/conman 文件已被删除
在引入
systemd 管理器前,可在 /etc/sysconfig/conman 文件中配置服务的各种限制。迁移到 systemd 后,不再使用/etc/sysconfig/conman,因此它已被删除。要设置限制和其他守护进程参数,如 LimitCPU=、LimitDATA= 或 LimitCORE=,请编辑 conman.service 文件。如需更多信息,请参阅 systemd.exec (5)手册页。另外,一个新的变量 LimitNOFILE=10000 已添加到 systemd.service 文件中。默认注释掉此变量。请注意,在对 systemd 配置进行任何更改后,必须执行 systemctl daemon-reload 命令以使更改生效。
mod_nss rebase 到版本 1.0.11
mod_nss packages 已升级到上游版本 1.0.11,它提供很多程序错误修复和增强。值得注意的是,
mod_nss 现在可以启用 TLSv1.2,SSLv2 已被完全删除。另外,添加了对密码的支持通常被视为最安全。
vsftpd 守护进程现在支持 DHE 和 ECDHE 密码套件
vsftpd 守护进程现在支持基于 Diffie-Hellman Exchange (DHE)和 Elliptic Curve Diffie-Hellman Exchange (ECDHE)密钥交换协议的密码套件。
现在可以为使用 sftp 上传的文件设置权限
用户环境和严格的
umask 设置不一致可能会导致使用 sftp 工具上传时无法访问的文件。有了这个更新,管理员可以对使用 sftp 上传的文件强制准确权限,从而避免上述问题。
ssh-ldap-helper 使用的 LDAP 查询现在可以调整
并非所有 LDAP 服务器都使用 ssh-ldap-helper 工具期望的默认模式。在这个版本中,管理员可以调整 ssh-ldap-helper 使用的 LDAP 查询,以使用不同的模式从服务器获取公钥。默认功能保持不变。
logrotate 工具中的新 createolddir 指令
添加了一个新的 logrotate
createolddir 指令,以启用自动创建 olddir 目录。如需更多信息,请参阅 logrotate (8)手册页。
来自 /etc/cron.frequency/logrotate 的错误消息不再重定向到 /dev/null
现在,由
logrotate 的每日 cronjob 生成的错误消息发送到 root 用户,而不是静默丢弃。此外,/etc/cron.frequency/logrotate 脚本在 RPM 中被标记为配置文件。
mod_ssl中受限的 SEED 和 IDEA 的算法
Apache HTTP 服务器的
mod_ssl 模块默认启用的密码套件集合已被限制以提高安全性。mod_ssl 的默认配置中不再启用 SEED 和基于 IDEA 的加密算法。
Apache HTTP 服务器现在支持 UPN
存储在 SSL/TLS 客户端证书的
主题备用名称部分的名称 (如 Microsoft User Principle Name)现在可以从 SSLUserName 指令中使用,现在可在 mod_ssl 环境变量中找到。用户现在可以使用其通用访问卡(CAC)或带有 UPN 的证书进行身份验证,并将其 UPN 用作经过身份验证的用户信息,并使用 Apache 中的访问控制使用,并使用 REMOTE_USER 环境变量或应用程序中类似的机制。现在,用户可以使用 UPN 为身份验证设置 SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0。
mod_dav 锁定数据库现在在 mod_dav_fs 模块中默认启用
现在,如果加载了 Apache HTTP
mod_dav _fs 模块,则 mod_dav 锁定数据库会被默认启用。可以使用 DAVLockDB 配置指令覆盖默认位置 ServerRoot/davlockdb。
mod_proxy_wstunnel 现在支持 WebSockets
Apache HTTP
mod_proxy_wstunnel 模块现在默认启用,它包括对 ws:// 方案中的 SSL 连接的支持。此外,也可以在 mod_rewrite 指令中使用 ws:// 方案。这允许将 WebSockets 用作 mod_rewrite 并在代理模块中启用 WebSocket 的目标。
包括了为 Oracle 数据库服务器优化的 Tuned 配置集
现在提供了一个新的
oracle Tuned 配置集,它专门用于 Oracle 数据库负载。新配置集在 tuned-profiles-oracle 子软件包中提供,以便在以后添加其他相关配置集。oracle 配置集基于 enterprise-storage 配置集,但根据 Oracle 数据库要求修改内核参数,并关闭透明巨页。
