Fedora fährt fort mit der Verbesserung seiner viele proaktiven Sicherheitseigenschaften.

Das glibc-Paket in Fedora 8 bietet nun Untersützung für Passwörter, welche SHA-256 und SHA-512-Hashing benutzen. Vorher waren nur DES und MD5 verfügbar. Die Werkzeuge zum Erzeugen von Passwörtern wurden in Fedora 9 erweitert. SHA-256 und SHA-512-Hashing-Funktionen werden jetzt unterstützt.

Um auf einem installierten System zu SHA-256 oder SHA-512 zu wechseln, benutzen Sie authconfig --passalgo=sha256 --update oder authconfig --passalgo=sha512 --update. Alternativ können Sie das grafische Werkzeug authconfig-gtk zur Einstellung der Hashing-Methode verwenden. Bestehende Benutzerkonten sind nicht betroffen, solange ihr Passwort nicht geändert wird.

Auf neu installierten Systemen wird SHA-512 standardmässig verwendet. Andere Algorithmen können nur bei Kickstart-Installationen verwendet werden, indem dem Kickstart-Befehl auth die Optionen --passalgo oder --enablemd5 übergeben werden. Falls Sie keine Kickstart-Installation verwenden, so nutzen Sie den authconfig-Befehl wie oben beschrieben und ändern Sie anschließend das root-Passwort sowie die Passwörter anderer Benutzer, die nach der Installation angelegt wurden.

Neue Optionen zur Unterstützung dieser Passwort-Hashing-Algorithmen gibt es in den Paketen libuser , pam und shadow-utils . Das Ausführen von authconfig konfiguriert alle diese Optionen automatisch, so dass es nicht notwendig ist, sie manuell zu verändern.

FORTIFY_SOURCE-Schutz deckt nun asprintf, dprintf, vasprintf, vdprintf, obstack_printf und obstack_vprintf ab. Die Verbesserung ist teilweise nützlich für Anwendungen, welche die glib2-Bibliotheke benutzen, weil viele dieser Funktionen auf vasprintf zugreifen.

Unterschiedliche Rollen sind nun verfügbar, dies erlaubt feiner abgestufte Zugriffskontrolle:

Ebenso Browser-Plugins, welche mit nspluginwrapper lauffähig sind, welcher der Standard ist, laufen nur begrenzt.

In Fedora 9 wurde das Standard Firewall-Verhalten geändert. Es sind nun keine Standard-Ports mehr offen ausser für SSH (22), welcher durch Anaconda geöffnet wurde..

Eine allgemeine Einführung zu den zahlreichen proaktiven Sicherheitsfunktionen in Fedora, dem aktuellen Status und den Richtlinien sind unter verfügbar.

Die neuen SELinux-Projektseiten enthalten Tipps zur Problembehebung, Erläuterungen und Verweise auf Dokumentation und Referenzen. Einige nützliche Links enthalten unter anderem folgendes:

Free IPA ist ein zentralverwaltete Identifikations-, Richtlinien- und Audit-Installation.

Die IPA-Serverinstallation setzt ein relativ sauberes System voraus und installiert und konfiguriert mehrere Dienste:

Es wurden einige Bemühungen unternommen, um die Änderungen rückgängig zu machen aber der Erfolg ist nicht garantiert. In gleicher Weise überschreibt das Werkzeug ipa-client-install die Konfigurationen von PAM (/etc/pam.conf) und Kerberos (/etc/krb5.conf).

IPA unterstützt keine anderen Instanzen des Fedora Directory Server auf der gleichen Maschine zum Installationszeitpunkt, auch wenn er auf anderen Ports lauscht. Zum Installieren von IPA, müssen Sie die anderen Instanzen entfernen. IPA kann dieses Entfernen selber handhaben.

Es gibt momentan keinen Mechanismus für die Migration von bestehenden Benutzern in einen IPA-Server.

Der Server konfiguriert sich als Client von sich selber. Wenn der Start des Verzeichnis-Server oder KDC beim Start fehlschlägt, starten Sie im single-user-Modus, um dieses Problem zu lösen.

Für mehr Informationen, beziehen Sie sich bitte auf die Eigenschaftseite:

http://fedoraproject.org/wiki/Features/freeIPA