4.4. 网络
iproute rebase 到版本 6.2.0
iproute 软件包已升级到上游版本 6.2.0,与之前的版本相比,它提供了很多改进和 bug 修复。最显著的更改有:
-
新的
ip stats命令管理并显示接口统计信息。默认情况下,ip stats show命令显示所有网络设备,包括网桥和绑定的统计信息。您可以使用dev和group选项过滤输出。详情请查看ip-stats (8)手册页。 -
ss工具现在提供-T(--threads)选项来显示线程信息,这会扩展-p(--processes)选项。详情请查看ss (8)手册页。 -
您可以使用新的
bridge fdb flush命令删除与提供的选项匹配的特定转发数据库(fdb)条目。详情请查看bridge (8)手册页。
Jira:RHEL-424[1]
默认 nftables 服务配置的安全改进
此增强将 do_masquerade 链添加到 /etc/sysconfig/nftables/nat.nft 文件中的默认 nftables 服务配置中。这降低了端口影子攻击的风险,这在 CVE-2021-3773 中进行了描述。do_masquerade 链中的第一个规则检测到合适的数据包,并强制实施源端口随机化,以减少端口影子攻击的风险。
NetworkManager 支持 no-aaaa DNS 选项
现在,您可以通过抑制由 stub 解析器生成的 AAAA 查询,使用 no-aaaa 选项在受管主机上配置 DNS 设置。在以前的版本中,没有选项来抑制 stub 解析器生成的 AAAA 查询,包括由基于 NSS 的接口(如 getaddrinfo )触发的 AAAA 查找;只有 DNS 查找受到影响。有了这个增强,您可以使用 nmcli 工具禁用 IPv6 解析。重启 NetworkManager 服务后,no-aaaa 设置会反映在 /etc/resolv.conf 文件中,并具有对 DNS 查找的额外控制。
nm-cloud-setup 工具现在支持 IMDSv2 配置
用户可以使用 nm-cloud-setup 工具配置带有实例元数据服务版本 2 (IMDSv2)的 AWS Red Hat Enterprise Linux EC2 实例。要遵守改进的安全性,其限制对 EC2 元数据和新功能未经授权的访问,需要 AWS 和红帽服务间的集成来提供高级功能。此增强使 nm-cloud-setup 工具能够获取并保存 IMDSv2 令牌,验证 EC2 环境,并使用安全 IMDSv2 令牌检索有关可用接口和 IP 配置的信息。
libnftnl 软件包 rebase 到版本 1.2.2
到内核 nf_tables 子系统的 Netlink API (libnftnl)软件包已更新。主要变化和增强包括:
添加的功能:
-
udata属性的嵌套 -
使用
exthdr表达式重置 TCP 选项 -
sdif和sdifname元关键字 -
支持
nftnl_chain结构中的新属性NFTNL_CHAIN_FLAGS,以在内核和用户空间之间进行通信标志。 -
支持
nftnl_set结构 nftables 设置后端来对集合和 set elements 添加表达式。 - 对集合 、表、对象和链的注释
-
nftnl_table结构现在有一个NFTNL_TABLE_OWNER属性。设置此属性以使内核将所有者与用户空间进行通信。 - 准备好对流化设备的增量更新
-
与
nftnl_set udata定义相关的typeof关键字 -
链ID 属性 - 从规则中删除表达式的函数
-
新的
last表达式
-
改进了位表达式:
-
新添加的
op和data属性 - 左和右移动
- 与其他表达式的调试输出一致
-
新添加的
改进了套接字表达式:
-
添加了
wildcard属性 - 对 cgroup v2 的支持
-
添加了
改进了调试输出:
-
在 set elements 中包含了
key_end数据寄存器 -
从
masq和 nat 表达式中丢弃了未使用的寄存器 - 为 verdict map 元素应用了修复
- 从丢弃的 XML 格式中删除了剩余内容
- 支持内部标头的有效负载偏移
-
在 set elements 中包含了
