4.9. 网络
RPZ-drop 现在可防止 BIND 重复解析无法访问的域
RHEL 7.7 发布的 Berkeley Internet Name Domain (BIND)版本引入了 rpz-drop 策略,它允许缓解 DNS 扩展攻击。在以前的版本中,如果攻击者为无法解析的域生成了大量查询,BIND 会不断尝试解决此类查询,这会给 CPU 造成大量负载。使用 rpz-drop 时,当目标域无法访问时,BIND 不会处理查询。这个行为可显著节省 CPU 容量。
(BZ#1325789)
bind rebase 到版本 9.11
bind 软件包已升级到上游版本 9.11,它提供很多程序错误修复和增强:
新特性:
- 添加了一个新的置备二级服务器的方法,称为 Catalog Zones。
-
域名系统 Cookie 现在可由
named服务和dig工具发送。 - Response Rate Limiting 功能现在可以帮助缓解 DNS 放大攻击。
- 响应策略区域(RPZ)的性能已得到提高。
-
已添加了名为
map的新区域文件格式。使用此格式存储的区域数据可以直接映射到内存中,这样区域加载就能大大加快。 -
添加了一个名为
delv(域实体查找和验证)的新工具,用于发送 DNS 查询并验证结果。该工具使用与named守护进程相同的内部解析器和验证器逻辑。 -
现在提供了一个新的
mdig命令。此命令是dig命令的一个版本,它发送多个管道查询,然后等待响应,而不是发送一个查询并等待响应,然后再发送下一个查询。 -
添加了一个新的
prefetch选项,它提高了递归解析器的性能。 -
添加了一个新的
in-view区域选项,它允许在视图间共享区域数据。当使用这个选项时,多个视图可以在不需要在内存中存储多个副本的情况下为相同的区域服务。 -
添加了一个新的
max-zone-ttl选项,它强制执行 zone 的最大 TTL。当加载包含更高 TTL 的区域时,加载会失败。带有更高 TTL 的动态 DNS(DDNS)更新会被接受,但 TTL 会被截断。 - 添加了新的配额,将递归解析器发送的查询限制到遇到拒绝服务攻击的权威服务器。
-
现在,
nslookup程序默认查找 IPv6 和 IPv4 地址。 -
named服务现在在启动前检查其他名称服务器进程是否正在运行。 -
加载签名区域时,
named现在检查资源记录签名(RSIG)的开始时间是否在将来,如果是,它会立即重新生成 RRSIG。 - 区域传送现在使用较小的消息大小来改进消息压缩,这降低了网络使用量。
功能更改:
-
HTTP 接口提供统计渠道的版本
3 XML模式,包括新的统计信息以及用于快速解析的扁平化 XML 树。旧版本2 XML模式仍然是默认格式。
ipset rebase 到版本 7.1
ipset 软件包已升级到上游版本 7.1,它提供很多程序错误修复和增强:
-
ipset协议版本 7 引入了IPSET_CMD_GET_BYNAME和IPSET_CMD_GET_BYINDEX操作。另外,用户空间组件现在可以检测到内核组件支持的确切兼容性级别。 - 已修复大量错误,如内存泄漏和无用错误。
(BZ#1649080)
NetworkManager 现在支持在网桥接口上进行 VLAN 过滤
在这个版本中,管理员可以在对应的 NetworkManager 连接配置集中的网桥接口上配置虚拟 LAN (VLAN)过滤。这样,管理员可以直接在网桥端口上定义 VLAN。
NetworkManager 现在支持配置策略路由规则
在以前的版本中,用户必须在 NetworkManager 之外设置策略路由规则,例如使用 NetworkManager-dispatcher-routing-rules 软件包提供的分配程序脚本。在这个版本中,用户可以将规则配置为连接配置集的一部分。因此,NetworkManager 在激活配置集时添加规则,并在取消激活配置集时删除规则。
