initCommon(); $template->displayHeader(); ?>

15. Seguridad

[Sugerencia] Ultimas Notas de la Versión en la Web

Estas notas del lanzamiento pueden ser actualizadas. Para ver la última versión de las notas del lanzamiento de Fedora, visite:

http://docs.fedoraproject.org/release-notes/

Esta sección enfoca varios items de seguridad desde Fedora.

15.1. Mejoras de Seguridad

Fedora continúa mejorando sus muchas características de seguridad proactivas.

15.2. Soporte para contraseñas SHA-256 y SHA-512

El paquete glibc en Fedora 8 tenía soporte para contraseñas usando el hashing SHA-256 y SHA-512. Antes, solamente DES y MD5 estaban disponibles. Estas herramientas han sido extendidas en Fedora 9. Ahora hay soporte para el hashing de contraseñas usando las funciones de hash SHA-256 y SHA-512.

Para cambiar a SHA-256 o SHA-512 en un sistema instalado, use authconfig --passalgo=sha256 --update o authconfig --passalgo=sha512 --update. Como alternativa, use la herramienta gráfica authconfig-gtk para configurar el método de hashing. Las cuentas de los usuarios actuales no serán afectadas hasta que sus contraseñas sean cambiadas.

SHA-512 se usa por defecto en sistemas nuevos instalados. Los demás algoritmos se pueden configurar solamente para instalaciones kickstart, usando las opciones --passalgo o --enablemd5 en el comando auth. Si su instalación no usa kickstart, use authconfig como se describe más arriba y luego cambie la contraseña de root, y las contraseñas de los demás usuarios creados luego de la instalación.

Las opciones nuevas ahora aparecen en libuser, pam y shadow-utils para dar soporte a estos algoritmos de hashing de contraseñas. Al ejecutar authconfig se configuran todas estas opciones automáticamente, por lo que no es necesario modificarlas manualmente.

  • Ahora hay soporte para nuevos valores en la opción crypt_style, hash_rounds_min y hash_rounds_max en la sección [defaults] de /etc/libuser.conf. Vaya a la página man de libuser.conf(5) para más detalles.

  • Las opciones nuevas, sha256, sha512 y rounds son ahora soportados por el módulo PAM pam_unix. Vaya a la página man de pam_unix(8) para más detalles.

  • Las nuevas opciones, ENCRYPT_METHOD, SHA_CRYPT_MIN_ROUNDS y SHA_CRYPT_MAX_ROUNDS son ahora soportados en /etc/login.defs. Vaya a la página man de login.defs(5) para más detalles. Las opciones correspondientes se agregaron a chpasswd(8) y newusers(8).

15.3. FORTIFY_SOURCE fue extendida para cubrir más funciones

La protección FORTIFY_SOURCE ahora cubre asprintf, dprintf, vasprintf, vdprintf, obstack_printf y obstack_vprintf. Esta mejora es particularmente útil para aplicaciones que usan la biblioteca glib2, dado que varias de sus funciones usan vasprintf.

15.4. Mejoras en SELinux

Ahora hay disponibles diferentes roles, para permitir una granularidad más fina en el control de acceso:

  • guest_t no permite correr binarios setuid, crear conexiones de red o usar la GUI.

  • xguest_t deshabilita el acceso a la red excepto el HTTP vía un navegador Web, y sin binarios setuid.

  • user_t es ideal para usuarios de oficina: lo que evita convertirse a root vía aplicaciones setuid.

  • staff_t es similar a user_t, excepto que el acceso de root vía sudo está permitido.

  • unconfined_t provee acceso completo, como si fuera que no usa SELinux.

También, los complementos del navegador encapsulados con nspluginwrapper, que es el predeterminado, ahora corren confinados.

15.5. Comportamiento Predeterminado del Cortafuego

En Fedora 9, el comportamiento predeterminado del cortafuego cambió. No hay puertos abiertos por defecto, excepto el SSH (22), que está abierto por Anaconda.

15.6. Información General

Una introducción general a las muchas características de seguridad proactiva en Fedora, el estado actual y las políticas disponibles en http://fedoraproject.org/wiki/Security.

15.7. SELinux

Las páginas del proyecto SELinux tienen consejos para resolución de problemas, explicaciones y enlaces a documentación y referencias. Algunos enlaces útiles incluyen los siguientes:

15.8. IPA Libre

El IPA Libre es una instalación centralizada de administración de identidad, política y auditoría.

El instalador del servidor IPA asume un sistema relativamente limpio, e instala y configura varios servicios:

  • una instancia del Servidor de Directorio de Fedora

  • KDC

  • Apache

  • ntpd

  • TurboGears

Se realizó cierto esfuerzo para poder volver atrás los cambios hechos pero no son garantizados. De manera similar, la herramienta ipa-client-install sobreescribe las configuraciones PAM (/etc/pam.conf) y Kerberos (/etc/krb5.conf).

IPA no da soporte a otras instancias de Servidor de Directorio de Fedora en la misma máquina al mismo momento, aún cuando escuchan en puertos diferentes. Para poder instalar IPA, las otras instancias deben ser eliminadas. IPA puede realizar esta eliminación.

Actualmente no hay un mecanismo para migrar usuarios existentes en un servidor IPA.

El servidor se autoconfigura para ser un cliente de si mismo. Si el Servidor de Directorio o KDC fallan al iniciar durante el arranque, arranque en modo monousuario para poder resolver este problema.

Para más información, vaya a esta página de características:

http://fedoraproject.org/wiki/Features/freeIPA

displayFooter('$Date: 2008/05/12 21:33:14 $'); ?>