6.4. 网络
同一区文件现在可以包含在 BIND 的多个视图或区中。
BIND 9.11 引进了额外的检查来确保没有守护进程可写入区文件多次使用,这会导致区日志序列化出现错误。因此,这个守护进程不再接受 BIND 9.9 可接受的配置。在这个版本中,配置文件检查中的严重错误消息会被一个警告替代,因此同一区文件现在可以包含在多个视图或区中。
请注意,建议使用一个查看条款作为更好的解决方案。
在 firewalld 中添加了一个配置参数来禁用区域偏移
在以前的版本中,firewalld 服务包含一个未记录的行为,称为"zone drifting"。RHEL 7.8 删除了此行为,因为它可能会对安全造成负面影响。因此,在使用这个行为配置 catch-all 或 fallback zone 的主机上,firewalld 会拒绝之前允许的连接。在这个版本中,重新添加了区 drifting 功能,但作为一个可配置的功能。现在,用户可以决定使用区 drifting 功能,也可以禁用它并使用防火墙进行安全设置。
默认情况下,在 RHEL 7.9 中,/etc/firewalld/firewalld.conf 文件中的新 AllowZoneDrifting 参数设置为 yes。请注意,如果启用了该参数,firewalld 日志:
WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
RHEL 轮转 firewalld 日志文件
在以前的版本中,RHEL 不会轮转 firewalld 日志文件。因此,/var/log/firewalld 日志文件会 无限期地增加。在这个版本中,添加了 firewalld 服务的 /etc/logrotate.d/firewalld 日志轮转配置文件。因此,/var/log/firewalld 日志会被轮转,用户可以自定义 /etc/logrotate.d/firewalld 文件中的轮转设置。
