15. Turvallisuus

15. Turvallisuus
Edellinen		Seuraava

	Uusin julkaisutiedote WWW:ssä
Tätä julkaisutiedotetta saatetaan päivittää. Lukeaksesi Fedoran uusimman julkaisutiedotteen, mene osoitteeseen: http://docs.fedoraproject.org/release-notes/

Uusin julkaisutiedote WWW:ssä

Tätä julkaisutiedotetta saatetaan päivittää. Lukeaksesi Fedoran uusimman julkaisutiedotteen, mene osoitteeseen:

http://docs.fedoraproject.org/release-notes/

Tämä osio korostaa erilaisia turvallisuusominaisuuksia Fedorassa.

15.1. Turvallisuusparannukset

Fedora jatkaa monien ennakoivien turvallisuusominaisuuksien kehittämistä.

15.2. Tuki SHA-256- ja SHA-512-salasanoille

Fedora 8:n glibc-paketissa oli tuki SHA256- ja SHA512-tiivistettä käyttäville salasanoille. Aiemmin vain DES ja MD5 olivat mahdollisia. Näitä työkaluja on kehitetty Fedora 9:ssä. Salasanojen tiivistystä SHA-256- ja SHA-512-tiivistefunktioita käyttäen tuetaan nyt.

SHA-256:een tai SHA-512:een siirtymiseksi asennetussa järjestelmässä käytä komentoja authconfig --passalgo=sha256 --update tai authconfig --passalgo=sha512 --update. Vaihtoehtoisesti käytä graafista authconfig-gtk-työkalua tiivistysmenetelmän asettamiseksi. Olemassa oleviin käyttäjätunnuksiin muutos ei vaikuta ennen kuin niiden salasanoja vaihdetaan.

SHA-512:ta käytetään oletuksena uusissa järjestelmissä. Muita algoritmeja voi asettaa kickstart-asennuksissa käyttämällä kickstartin auth-komennon valitsimia --passalgo tai --enablemd5. Jos asennukseen ei käytetä kickstartia, käytä authconfigia yllä kuvatulla tavalla ja vaihda sen jälkeen pääkäyttäjän salasana ja muiden asennuksen jälkeen luotujen käyttäjien salasanat.

Libuserissa, pamissa ja shadow-utilsissa on uusia asetuksia näiden salasanatiivistealgoritmien tukemiseen. Komennon authconfig suorittaminen tekee kaikki nämä asetukset automaattisesti, joten niitä ei ole tarpeen muokata manuaalisesti.

Asetuksen crypt_style uusia arvoja ja uusia hash_rounds_min- sekä hash_rounds_max-asetuksia tuetaan tiedoston /etc/libuser.conf [defaults]-osassa. Lisätietoja on manuaalisivulla libuser.conf(5).
PAM-moduuli pam_unix tukee nyt uusia asetuksia sha256, sha512 ja rounds. Lisätietoja on manuaalisivulla pam_unix(8).
Uusia asetuksia ENCRYPT_METHOD, SHA_CRYPT_MIN_ROUNDS ja SHA_CRYPT_MAX_ROUNDS tuetaan tiedostossa /etc/login.defs. Lisätietoja on manuaalisivulla login.defs(5). Vastaavat asetukset lisättiin komentoihin chpasswd(8) ja newusers(8).

15.3. FORTIFY_SOURCEa laajennettu kattamaan lisää funktioita

FORTIFY_SOURCE kattaa nyt funktiot asprintf, dprintf, vasprintf ja obstack_vprintf. Tämä parannus on erityisen hyödyllinen ohjelmille, jotka käyttävät glib2-kirjastoa, koska useat sen funktiot käyttävät funktiota vasprintf.

15.4. SELinux-parannukset

Käytettävissä on nyt useita rooleja, joiden avulla saadaan tarkempaa pääsynvalvontaa:

guest_t ei salli setuid-binäärien ajamista, verkkoyhteyksien tekemistä eikä graafisen käyttöliittymän käyttöä.
xguest_t ei salli setuid-binääreitä sekä estää verkon käytön, paitsi HTTP:n Web-selaimen kautta.
user_t on ihanteellinen toimistokäyttäjille: se estää pääkäyttäjätunnuksen käytön setuid-sovellusten kautta.
staff_t on sama kuin user_t, paitsi että pääkäyttäjätunnuksen käyttö sudon avulla on sallittua.
unconfined_t sallii täyden käytön, sama kuin ilman SELinuxia.

Nyt oletuksena olevan nspluginwrapperin avulla käärityt selainliitännäiset suoritetaan rajoitettuna.

15.5. Palomuurin oletustoiminta

Fedora 9:ssä palomuurin oletustoiminta on muuttunut. Oletuksena mitään portteja ei ole avoinna, paitsi SSH (22), jonka Anaconda avaa.

15.6. Yleiset tiedot

Yleinen johdanto moniin ennakoiviin turvallisuusominaisuuksiin Fedorassa, nykyinen tilanne ja käytännöt ovat saatavilla osoitteessa http://fedoraproject.org/wiki/Security.

15.7. SELinux

SELinux-projektisivuilla on ongelmanratkaisuvinkkejä, selityksiä ja viitteitä dokumentaatioon. Hyödyllisiä linkkejä:

Uudet SELinux-projektisivut: http://fedoraproject.org/wiki/SELinux
Ongelmanratkaisuvinkkejä: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Usein kysyttyjä kysymyksiä: http://docs.fedoraproject.org/selinux-faq/
SELinux-komentoluettelo: http://fedoraproject.org/wiki/SELinux/Commands
Rajoitettujen toimialueiden yksityskohdat: http://fedoraproject.org/wiki/SELinux/Domains

15.8. Free IPA

Free IPA on keskitetysti hallittu identiteetti-, käytäntö- ja auditointiasennus.

IPA-palvelimen asennusohjelma olettaa verrattain siistin järjestelmän ja asentaa sekä asettaa useita palveluita:

Fedora Directory Server
KDC
Apache
ntpd
TurboGears

Jossain määrin pyritään siihen, että tehdyt muutokset olisi mahdollista perua, mutta sitä ei taata. Työkalu ipa-client-install ylikirjoittaa PAM (/etc/pam.conf)- ja Kerberos (/etc/krb5.conf) -asetukset.

IPA ei tue muita Fedora Directory Server -asennuksia samalla koneella asennusaikana, ei edes, vaikka ne kuuntelisivat eri porteissa. IPAn asentamiseksi muut asennukset on poistettava. IPA voi hoitaa poistot itse.

Tällä hetkellä ei ole mahdollista siirtää olemassa olevia käyttäjiä IPA-palvelimeen.

Palvelin asettaa itsensä olemaan oma asiakkaansa. Jos Directory Server tai KDC ei käynnisty järjestelmän käynnistymisen yhteydessä, käynnistä järjestelmä yhden käyttäjän tilaan ongelman ratkaisemiseksi.

Lisätietoja on tällä ominaisuussivulla:

http://fedoraproject.org/wiki/Features/freeIPA

Edellinen		Seuraava
14. Ohjelmistokehitys	Alkuun	16. Java