Note di rilascio 7¶
NethServer versione 7
La ISO release7.9.2009 «final» sostituisce tutte le ISO precedenti.
Questa versione è basata su CentOS 7 (2009)
CentOS 7 riceverà aggiornamenti di sicurezza fino al 30/06/2024
Lista delle principali modifiche
Lista di bug noti
Analisi dei possibili bug
Cambiamenti principali al 26/11/2020¶
La ISO release 7.9.2009 «final» sostituisce tutte le ISO 7.8.2003 precedenti.
Il vecchio Server Manager (ovvero la Nethgui) non è disponibile per impostazione predefinita sulle nuove installazioni. Per configurare il sistema utilizzare il nuovo Server Manager sulla porta
9090
.Il vecchio Server Manager può ancora essere installato dal Software Center.
CGP (Collectd Graph Panel), EveBox, la UI di Rspamd, Lightsquid e Ntopng sono ancora disponibili sulla porta HTTPS 980, anche se il vecchio Server Manager non è stato installato.
Sulle nuove installazioni, viene ora concesso l’accesso SSH e SFTP agli utenti che appartengono al gruppo
wheel
. Attenzione: gli utenti creati dall’installer ISO di Anaconda possono essere membri diwheel
. Fare riferimento alla sezione SSH per dettagli.Sulle nuove installazioni, i cifrari deboli SSH sono ora disabilitati per impostazione predefinita. Per abilitare i cifrari deboli deselezionare l’opzione Disabilita cifrari deboli all’interno della pagina .
LA policy TLS predefinita è la
2020-05-10
. TLS 1.1, TLS 1.0, SSL v3 e SSL v2 sono disabilitati. Fare riferimento alla sezione TLS policy per dettagli.Le nuove installazioni di Nextcloud onorano l’impostazione StartTLS dell’account provider Active Directory. Poiché le vecchie installazioni ignorano tale impostazione e inviano sempre password in chiaro, si consiglia di aggiornarle al nuovo standard. Assicurarsi che il provider AD remoto supporti StartTLS, quindi eseguire i seguenti comandi:
config setprop nextcloud HonorAdStartTls enabled signal-event nethserver-sssd-save
Infine verificare che l’opzione StartTLS sia abilitata nel pannello Sistema > Utenti & Gruppi > [Account provider] > Modifica provider. Vedi anche la sezione Account LDAP per le applicazioni aggiuntive.
Per evitare errori durante gli aggiornamenti di Nextcloud, l’app
mail
viene forzatamente disabilitata. Dopo ogni aggiornamento, l’applicazione deve essere aggiornata manualmente e riattivata accedendo all’interfaccia di amministrazione di Nextcloud.Netdata è ora installato per impostazione predefinita per popolare i grafici del Server Manager. Alcuni plugin sono stati disabilitati per ridurre l’utilizzo delle risorse. Per abilitare questi plugin fare riferimento alla documentazione relativa alla configurazione di Netdata .
Dopo l’installazione del modulo
nethserver-ndpi
è necessario riavviare il sistema se la versione del kernel in uso è inferiore alla3.10.0-1160.6.1.el7
.Il database di Mattermost è stato aggiornato a PostgreSQL 12. Se non utilizzata da altri servizi, l’istanza di PostgreSQL 9.4 viene fermata e disabilitata dalla procedura di aggiornamento di nethserver-mattermost .
Assicurarsi che il vecchio servizio sia arrestato e disabilitato:
systemctl status rh-postgresql94-postgresql
PostgreSQL 9.4 può essere disinstallato con il seguente comando:
yum remove nethserver-postgresql94
I DAHDI tool e il relativo modulo del kernel non sono più installati per impostazione predefinita, come parte del pacchetto
nethserver-freepbx
. Se il sistema necessita del software DAHDI per hardware speciale relativo alla telefonia, è possibile installarlo dal Software Center, selezionando il moduloDriver e strumenti DAHDI
.Sulle macchine aggiornate in cui DAHDI non è richiesto, i relativi pacchetti possono essere rimossi con il seguente comando:
yum remove dahdi-tools-libs dahdi-linux kmod-dahdi-linux dahdi-firmware
Cambiamenti principali al 05/05/2020¶
La ISO release 7.8.2003 «final» sostituisce la precedente ISO 7.7.1908
il nuovo Server Manager basato su Cockpit è ora in versione stable
Su nuove installazioni, l’opzione Sistema > Impostazioni > Policy shell > Ignora la shell degli utenti è abilitata di default. Gli utenti normali potranno accedere al nuovo Server Manager solo se l’opzione Sistema > Impostazioni > Pagina impostazioni utente > Abilita la pagina impostazioni utente è stata abilitata o se l’utente è stato delegato per accedere ad almeno un modulo.
L’accesso a SSH è limitato a
root
e agli utenti all’interno del gruppo amministrativo designato (Domain Admins
per impostazione predefinita). Permessi più granulari possono essere assegnati dalla pagina SSH.Tutte le azioni IMAP vengono tracciate di default all’interno di
/var/log/imap
Il flag visti condivisi è abilitato di default per le cartelle di posta condivise.
Il limite di connessione al server di posta per ciascun utente è stato aumentato per evitare errori sui client di posta web
Quando si crea un nuovo connettore POP3, i filtri sono disabilitati per impostazione predefinita
Il server roadwarrior di OpenVPN utilizza la topologia di tipo
subnet
come impostazione predefinitaPer aumentare la sicurezza, quando la modalità di autenticazione è impostata su
Nome utente, password e certificato
, il server OpenVPN roadwarrior impone una corrispondenza tra nome utente e CN del certificatoLa dimensione massima della memoria PHP predefinita è stata aumentata da 128MB a 512MB
Nextcloud ora utilizza lo stack PHP 7.3 per migliorare le prestazioni e supportare un più ampio numero di plug-in
Ejabberd è stato aggiornato alla versione 20.03
Il proxy POP3 (P3Scan) è stato deprecato e non può più essere installato dal Software Center
PHP 7.1 è ora obsoleto ed è stato rimosso dai repository upstream: le macchine ripristinate dovranno migrare le applicazioni personalizzate su PHP 7.2 o versioni successive
Cambiamenti principali al 07/10/2019¶
La ISO release 7.7.1908 «final» sostituisce la precedente ISO 7.6.1810
Il nuovo Server Manager basato su Cockpit ha raggiunto lo stato di Beta ed è disponibile di default su tutte le installazioni. I sistemi esistenti possono installare il nuovo Server Manager dalla pagina del Software Center. Vedi anche Accesso al Server Manager.
L’opzione Origine aggiornamenti software (bloccata/sbloccata) è stata rimossa dalla pagina «Software Center». NethServer può essere aggiornato manualmente dalla pagina Software Center quando viene rilasciata la «point release» successiva. Vedi anche Software center.
I delta RPM sono stati rimossi dalla distribuzione upstream e non sono più disponibili nei repository YUM
La configurazione di OpenSSH è stata rimossa dalle impostazioni dei criteri TLS e ripristinata ai valori upstream predefiniti.
Nel nuovo Server Manager basato su Cockpit, la funzione Mailbox condivise del modulo Mail è stata rinominata Cartelle pubbliche.
La cartella pubblica “Junk” viene create durante l’installazione del modulo Email ed è accessibile in IMAP dall’utente root; ulteriori permessi possono essere aggiunti dall’applicazione Email del nuovo Server Manager o con un client IMAP/ACL, per esempio Roundcube.
Solo gli utenti con la shell abilitata possono accedere al nuovo Server Manager. Dal vecchio Server Manager, aprire la pagina Utenti e gruppi e abilitare l’opzione Shell remota (SSH). Dal nuovo Server Manager, aprire la pagina Utenti e gruppi e abilitare l’opzione Shell per l’utente selezionato.
Le firme antivirus ufficiali di ClamAV sono ora disabilitate di default.
L’interfaccia web per il restore selettivo è stata eliminata dal vecchio Server Manager. Una nuova interfaccia è disponibile su Cockpit, vedi Ripristino selettivo dei file.
Di default, l’analizzatore di utilizzo disco (duc) esamina i contenuti del file system root. Gli altri mount point vengono ignorati.
Cambiamenti principali al 27/12/2018¶
La ISO release 7.6.1810 «final» sostituisce la precedente ISO 7.6.1804
PHP 5.6 da SCL è giunto a fine vita (endo-of-life) ed è perciò deprecato. Vedi PHP 5.6 SCL
La policy TLS adottata di default è la
2018-10-01
La politica di conservazione dei log di sistema è stata aumentata a 52 settimane
Il protocollo di rete Zeroconf è ora disabilitato di deafult
Per impostazione predefinita, gli eventi Evebox vengono conservati per 30 giorni. Il nuovo valore predefinito viene applicato ai sistemi aggiornati come correzione di un bug
Il modulo NDPI è stato aggiornato alla versione 2.4 ed alcuni vecchi protocolli non vengono più riconosciuti. Vedi NDPI 2.4 per una lista completa dei protocolli rimossi
Il server SMTP può essere utilizzato direttamente dalle reti fidate
Le connessioni PPPoE utilizzano di default il plugin rp-pppoe per migliorare la velocità di rete
Per i repository che supportano la firma dei metadati GPG, YUM esegue ora un controllo di integrità (
repo_gpgcheck = 1
) per maggiore sicurezza. Questa nuova impostazione predefinita viene applicata automaticamente a meno che un file.repo
sia stato modificato localmente. In tal caso viene creato un file.rpmnew
invece di sovrascrivere le modifiche locali. Rinominare il file.rpmnew
in.repo
per applicare i nuovi valori di default. Questa è la lista dei file da controllare:/etc/nethserver/yum-update.d/NsReleaseLock.repo
/etc/yum.repos.d/NethServer.repo
/etc/yum.repos.d/NsReleaseLock.repo
Cambiamenti principali al 11/06/2018¶
ISO release 7.5.1804 «final» sostituisce le precedenti ISO 7.5.1804 «rc» e «beta»
Il modulo Email ora è basato su Rspamd
La sovrascrittura dei record DNS MX per gli host LAN è stata rimossa. Rimossa la prop
postfix / MxRecordStatus
Gli alias dei nomi host sono convertiti in record DB «hosts». Vedi Host alias addizionali
/etc/fstab
non è più un template espanso. Fare riferimento a Requisiti e Cartelle home dell’utente per maggiori dettagliAutorizzazioni predefinite per Cartelle condivise is Concedi il pieno controllo al creatore
Default TLS policy è
2018-03-30
il valore di default della session idle timeout del Server Manager è di 60 minute, la session life time è di 8 ore
L’implementazione QoS (Quality of Service) ora utilizza FireQOS, la configurazione corrente viene migrata automaticamente. Vedi Gestione banda
La voce Aggiornamenti automatici è stata rimossa dal Server Manager. Gli aggiornamenti automatici sono ora configurati da Software center > Configura. Vedi Aggiornamenti software
Il modulo NethServer subscription è disponibile di default nelle nuove installazioni. Eseguire il comando seguente per aggiornare il modulo di base impostato su installazioni esistenti:
yum update @nethserver-iso
Il progetto WebVirtMgr non viene più mantenuto ed il modulo corrispondente è stato rimosso insieme al pacchetto nethserver-libvirt. Vedi Macchine virtuali per dettagli su come usare la virtualizzazione
Cambiamenti principali al 26/10/2017¶
Rilascio della ISO 7.4.1708 «final» che sostituisce le precedenti ISO 7.4.1708 «beta1» e 7.3.1611 «update 1»
Il provider di account AD locale applica automaticamente gli aggiornamenti all’istanza Samba DC (#5356) La versione più recente di Samba DC è la 4.6.8
La pagina del Softeware center avvisa quando una nuova upstream release è disponibile (#5355)
Aggiunto il modulo FreePBX 14
Squid è stato patchato per una migliore esperienza di navigazione web in caso di utilizzo del proxy trasparente SSL
Ntopng 3 sostituisce Bandwidthd, il Server Manager contiene una nuova pagina «top talkers» che traccia l’utilizzo della banda da parte degli host
Suricata può essere configurato con molteplici categorie di regole
EveBox può segnalare anomalie di traffico rilevate da Suricata
Nextcloud 12.0.3
Web antivirus basato su ICAP invece che su ECAP
Filtri web: ufdbGuard aggiornato alla versione 1.33.4, apportati piccoli miglioramenti UI all’interfaccia web
Strumenti di diagnostica: aggiunto speedtest
ufdbGuard aggiornato alla versione 1.33.4
WebTop4 è stato rimosso
Cambiamenti principali al 31/07/2017¶
Rilascio della ISO 7.3.1611 «update 1» che sostituisce la precedente ISO 7.3.1611 «Final»
Miglioramento della pagina di backup della configurazione
Miglioramento della pagina degli Account provider
Procedure di migrazione da sme8 e di aggiornamento da ns6
OpenVPN: migliorati tunnel net2net
WebTop 5.0.7
Backup dati: supporto base per backup su WebDAV e statistiche storage
Ritocchi UI per tunnel IPSec
Proxy web: supporto instradamenti e regole di priorità
NextCloud 12
Pagina strumenti diagnostici di rete
Cambiamenti principali al 30/01/2017¶
Rilascio della ISO 7.3.1611 «Final» che sostituisce la precedente ISO 7.3.1611 «RC4»
Installatore: aggiunta modalità di installazione manuale
Account provider: il gruppo “administrators” è stato sostituito dal gruppo “domain admins” (Accesso al Server Manager)
Mail server: sistemata l’espansione di pseudonimi per i gruppi
Mail server: le caselle di posta condivise sono ora abilitate per default (Caselle di posta condivise)
Mail server: gli pseudonimi specifici per dominio hanno ora la precedenza su quelli generici
OpenVPN: abilitato l’avvio automatico dei client VPN al boot
Filtro web: corretti i profili basati su gruppi
Firewall: corretta la selezione delle condizioni temporali
IPS: configurazione aggiornata per l’ultima release di pulledpork
Funzionalità e pacchetti obsoleti¶
PHP 5.6 SCL¶
PHP 5.6 del repository SCL ha raggiunto il fine vita (EOL) 1 2.
Per evitare problemi con le applicazioni legacy esistenti, i pacchetti PHP 5.6 SCL di CentOS 7.5.1804 saranno ancora disponibili nei repository di NethServer per tutto il ciclo di vita della versione 7.6.1810.
Avvertimento
I pacchetti PHP 5.6 SCL non riceveranno alcun aggiornamento di sicurezza. Verrà garantito un minimo supporto limitatamente a quanto possibile
Il pacchetto nethserver-rh-php56-php-fpm
sarà rimosso dalla prossima release di NethServer.
Gli sviluppatori sono invitati ad aggiornare i loro moduli, sostituendo nethserver-rh-php56-php-fpm
con nethserver-rh-php71-php-fpm
il prima possibile.
NDPI 2.4¶
I seguenti protocolli sono stati rimossi:
tds
winmx
imesh
http_app_veohtv
quake
meebo
skyfile_prepaid
skyfile_rudics
skyfile_postpaid
socks4
timmeu
torcedor
tim
simet
opensignal
99taxi
easytaxi
globotv
timsomdechamada
timmenu
timportasabertas
timrecarga
timbeta
Le regole che utilizzano i protocolli di cui sopra, verranno automaticamente disabilitate.
Aggiornare NethServer 6 a NethServer 7¶
È possibile aggiornare la precedente major release di NethServer a 7 con la strategia backup/restore. Vedere Aggiornamento da NethServer 6 per dettagli.
Accesso al Server Manager¶
Se si desidera abilitare l’accesso Server Manager access to other users than root, aggiungere gli utenti al gruppo “domain admins” ed eseguire:
config delete admins
/etc/e-smith/events/actions/initialize-default-databases
Pacchetti rimossi¶
I seguenti pacchetti erano disponibili nella precedente release 6 e sono stati rimossi nella 7:
nethserver-collectd-web: sostituito con nethserver-cgp
nethserver-password: integrato in nethserver-sssd
nethserver-faxweb2: vedere la discussione faxweb2 vs avantfax.
nethserver-fetchmail: sostituito con getmail
nethserver-ocsinventory, nethserver-adagios: a causa di problemi di compatibilità con Nagios, questi moduli verranno supportati solo su NethServer 6
nethserver-ipsec: i tunnel IPSec sono ora implementati in nethserver-ipsec-tunnels, la funzione L2TP è stata eliminata
nethserver-webvirtmgr
Riferimenti
- 1
Red Hat Software Collections Product Life Cycle – https://access.redhat.com/support/policy/updates/rhscl
- 2
PHP supported versions – http://php.net/supported-versions.php