15. Ασφάλεια

15. Ασφάλεια
Προηγ		Επόμενο

	Τελευταίες σημειώσεις κυκλοφορίας στον Ιστό
Αυτές οι σημειώσεις κυκλοφορίας μπορεί να έχουν λάβει ενημερώσεις. Για να δείτε τις τελευταίες σημειώσεις κυκλοφορίας για το Fedora, επισκεφτείτε το: http://docs.fedoraproject.org/release-notes/

Τελευταίες σημειώσεις κυκλοφορίας στον Ιστό

Αυτές οι σημειώσεις κυκλοφορίας μπορεί να έχουν λάβει ενημερώσεις. Για να δείτε τις τελευταίες σημειώσεις κυκλοφορίας για το Fedora, επισκεφτείτε το:

http://docs.fedoraproject.org/release-notes/

Αυτή η ενότητα ξεχωρίζει διάφορα σημεία ασφάλειας για το Fedora.

15.1. Βελτιώσεις ασφάλειας

Το Fedora συνεχίζει να βελτιώνει τις πολλές προληπτικές δυνατότητες ασφαλείας που διαθέτει.

15.2. Υποστήριξη για κωδικούς πρόσβασης SHA-256 και SHA-512

The glibc package in Fedora 8 had support for passwords using SHA-256 and SHA-512 hashing. Previously, only DES and MD5 were available. These tools have been extended in Fedora 9. Password hashing using the SHA-256 and SHA-512 hash functions is now supported.

To switch to SHA-256 or SHA-512 on an installed system, use authconfig --passalgo=sha256 --update or authconfig --passalgo=sha512 --update. Alternatively, use the authconfig-gtk GUI tool to configure the hashing method. Existing user accounts will not be affected until their passwords are changed.

SHA-512 is used by default on newly installed systems. Other algorithms can be configured only for kickstart installations, by using the --passalgo or --enablemd5 options for the kickstart auth command. If your installation does not use kickstart, use authconfig as described above, and then change the root user password, and passwords for other users created after installation.

New options now appear in libuser , pam , and shadow-utils to support these password hashing algorithms. Running authconfig configures all these options automatically, so it is not necessary to modify them manually.

New values for the crypt_style option, and the new options hash_rounds_min, and hash_rounds_max, are now supported in the [defaults] section of /etc/libuser.conf. Refer to the libuser.conf(5) man page for details.
New options, sha256, sha512, and rounds, are now supported by the pam_unix PAM module. Refer to the pam_unix(8) man page for details.
New options, ENCRYPT_METHOD, SHA_CRYPT_MIN_ROUNDS, and SHA_CRYPT_MAX_ROUNDS, are now supported in /etc/login.defs. Refer to the login.defs(5) man page for details. Corresponding options were added to chpasswd(8) and newusers(8).

15.3. Το FORTIFY_SOURCE επεκτάθηκε για να καλύπτει περισσότερες λειτουργίες

FORTIFY_SOURCE protection now covers asprintf, dprintf, vasprintf, vdprintf, obstack_printf and obstack_vprintf. This improvement is particularly useful for applications that use the glib2 library, as several of its functions use vasprintf.

15.4. Βελτιώσεις SELinux

Είναι τώρα διαθέσιμη ποικιλία ρόλων, που επιτρέπουν περισσότερη ακρίβεια στον έλεγχο πρόσβασης:

guest_t δεν επιτρέπει εκτελέσιμα setuid, δημιουργία συνδέσεων δικτύου, ή την χρήση του GUI.
xguest_t αποτρέπει πρόσβαση στο δίκτυο με εξαίρεση το HTTP μέσω του περιηγητή ιστοσελίδων, και σε εκτελέσιμα που δεν είναι setuid.
user_t είναι ιδανικό για χρήστες γραφείου: αποτρέπει την χρήση λογαριασμού root μέσω εφαρμογών setuid.
Το staff_t είναι το ίδιο με το user_t, με εξαίρεση ότι παρέχεται η δυνατότητα πρόσβασης ως διαχειριστής με την χρήση του sudo.
Το unconfined_t παρέχει πλήρη πρόσβαση, όπως όταν δεν γίνεται χρήση του SELinux.

As well, browser plug-ins wrapped with nspluginwrapper, which is the default, now run confined.

15.5. Προεπιλεγμένη συμπεριφορά Firewall

Στο Fedora 9 είναι διαφορετική η προεπιλεγμένη συμπεριφορά του firewall. Δεν υπάρχουν προεπιλεγμένες ανοικτές θύρες, εξαίρεση υπάρχει για του SSH (22), το οποίο ανοίγεται από το Anaconda.

15.6. Γενικές πληροφορίες

Μία γενική εισαγωγή στα πολλά προληπτικά χαρακτηριστικά ασφάλειας στο Fedora, στην τρέχουσα κατάσταση και στις πολιτικές ασφάλειας είναι διαθέσιμη στο http://fedoraproject.org/wiki/Security.

15.7. SELinux

Οι σελίδες του έργου SELinux περιέχουν συμβουλές για αντιμετώπιση προβλημάτων, επεξηγήσεις και δείκτες στην τεκμηρίωση και στις αναφορές.Μερικοί χρήσιμοι σύνδεσμοι περιλαμβάνουν τους παρακάτω:

Καινούριες σελίδες έργου SELinux: http://fedoraproject.org/wiki/SELinux
Συμβουλές αντιμετώπισης προβλημάτων: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Συχνές ερωτήσεις: http://docs.fedoraproject.org/selinux-faq/
Λίστα εντολών SELinux: http://fedoraproject.org/wiki/SELinux/Commands
Λεπτομέρειες περιορισμένων τομέων (confined domains): http://fedoraproject.org/wiki/SELinux/Domains

15.8. Free IPA

Free IPA is a centrally managed identity, policy, and audit installation.

The IPA server installer assumes a relatively clean system, installing and configuring several services:

a Fedora Directory Server instance
KDC
Apache
ntpd
TurboGears

Some effort is made to be able to roll back the changes made but they are not guaranteed. Similarly the ipa-client-install tool overwrites PAM (/etc/pam.conf) and Kerberos (/etc/krb5.conf) configurations.

IPA does not support other instances of Fedora Directory Server on the same machine at install time, even listening on different ports. In order to install IPA, other instances must be removed. IPA itself can handle this removal.

There is currently no mechanism for migrating existing users into an IPA server.

The server self-configures to be a client of itself. If the Directory Server or KDC fail to start on bootup, boot into single-user mode in order to resolve the issue.

Για περισσότερες πληροφορίες, ανατρέξτε στην σελίδα:

http://fedoraproject.org/wiki/Features/freeIPA

Προηγ		Επόμενο
14. Ανάπτυξη λογισμικού	Αρχή	16. Java