8.5. 基础架构服务
bind
和 unbound
都禁用基于 SHA-1- 的签名验证
bind
和 unbound
组件禁用所有 RSA/SHA1(算法 5)和 RSASHA1-NSEC3-SHA1(算法号 7)签名,且签名的 SHA-1 用法在 DEFAULT 系统范围的加密策略中受到限制。
因此,某些 DNSSEC 记录使用 SHA-1、RSA/SHA1 和 RSASHA1-NSEC3-SHA1 摘要算法无法验证在 Red Hat Enterprise Linux 9 中,受影响的域名会存在安全漏洞。
要临时解决这个问题,升级到不同的签名算法,如 RSA/SHA-256 或 elliptic curve 键。
有关受影响和存在安全漏洞的顶级域的信息和列表,请参阅使用 RSASHA1 签名的 DNSSEC 记录失败来验证 解决方案。
如果在多个区域中使用相同的可写区域文件,named
无法启动
BIND 不允许在多个区域中具有相同的可写区域文件。因此,如果配置包含多个区域,它们共享到可由 named
服务修改的文件的路径,则 named
无法启动。要临时解决这个问题,请使用 in-view
子句在多个视图间共享一个区域,并确保为不同的区使用不同的路径。例如,在路径中包含视图名称。
请注意,可写区域文件通常用于允许由 DNSSEC 维护的动态更新、从属区域或区域的区域。
设置控制台 keymap
在最小安装上需要 libxkbcommon
库
在 RHEL 9 中,某些 systemd
库依赖项已从动态链接转换为动态加载,因此您的系统在运行时可打开并使用库(当它们可用时)。有了这个更改,除非您安装必要的库,否则无法使用依赖于此类库的功能。这也会影响在最小安装的系统上设置键盘布局。因此,localectl --no-convert set-x11-keymap gb
命令会失败。
要临时解决这个问题,请安装 libxkbcommon
库:
# dnf install libxkbcommon