15. Sécurité
![[Astuce]](./stylesheet-images/tip.png) |
Les notes de sortie les plus récentes sont disponibles sur le web |
|---|---|
|
Ces notes de sortie ne sont peut-être pas à jour. Pour avoir accès aux dernières notes de sortie pour Fedora, allez sur : |
Cette section énumère divers éléments liés à la sécurité dans Fedora.
15.1. Améliorations de sécurité
Fedora continue de s'améliorer dans le domaine de la sécurité.
15.2. Prise en charge des mots de passe SHA-256 et SHA-512
Le paquetage glibc dans Fedora 8 incluait la prise en charge pour les mots de passe utilisant le hachage SHA-256 et SHA-512. Auparavant, seuls DES et MD5 étaient possibles. Ces outils ont été étendus dans Fedora 9. Le hachage de mot de passe utilisant les fonctions de hachage SHA-256 et SHA-512 est maintenant supporté.
Pour passer de SHA-256 à SHA-512 sur un système installé, utilisez les commandes authconfig --passalgo=sha256 --update ou authconfig --passalgo=sha512 --update. Vous pouvez aussi utiliser comme alternative authconfig-gtk, l'outil graphique pour configurer la méthode de hachage. Les comptes d'utilisateur existants ne seront pas affectés jusqu'à ce que leur mots de passe soient modifiés.
SHA-512 est utilisé par défaut sur les systèmes nouvellement installés. D'autres algorithmes peuvent être configurés seulement pour les installations « kickstart », en utilisant les options --passalgo ou --enablemd5 pour la commande « kickstart » auth. Si votre installation n'utilise pas « kickstart », utilisez authconfig comme décrit ci-dessus, et ensuite changez le mot de passe root, et les mots de passe pour les autres utilisateurs créés après l'installation.
De nouvelles options apparaissent dans libuser, pam, et shadow-utils pour le support de ces algorithmes de hachage de mot de passe. Exécuterauthconfig configure toutes ces options automatiquement, il n'est donc pas nécessaire de les modifier manuellement.
Nouvelles valeurs pour l'option
crypt_style, et les nouvelles optionshash_rounds_min, ethash_rounds_maxsont maintenant supportées dans la section[defaults]de/etc/libuser.conf. Référez-vous à la page de manuellibuser.conf(5)pour plus dedétails.Les nouvelles options,
sha256,sha512, etrounds, sont maintenant supportées par le module PAMpam_unix. Référez-vous à la page de manuel depam_unix(8)pour plus de détails.Les nouvelles options,
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDS, etSHA_CRYPT_MAX_ROUNDS, sont maintenant supportées dans/etc/login.defs. Référez-vous à la page de manuel delogin.defs(5)pour plus de détails. Les options correspondantes ont été ajoutées àchpasswd(8)etnewusers(8).
15.3. FORTIFY_SOURCE amélioré pour proposer plus de fonctionnalités
La protection FORTIFY_SOURCE couvre dorénavant asprintf, dprintf, vasprintf, vdprintf, obstack_printf et obstack_vprintf. Cette amélioration est particulièrement utile pour les applications qui utilisent la bibliothèque glib2, comme certaines de ses fonctions utilisent vasprintf.
15.4. Améliorations de SELinux
Des rôles différents sont dorénavant disponibles, pour permettre un contrôle plus fin des accès :
guest_tn'autorise pas de lancer des binaires setuid, d'établir des connexions réseaux ou d'utiliser une interface graphique.xguest_tinterdit l'accès au réseau sauf pour le protocole HTTP via un navigateur web, et aucun binaire setuid.user_test idéal pour les utilisateurs de « bureautique » : il empêche de devenir root via des applications setuid.staff_test identique àuser_t, à l'exception que l'accès root via la commandesudoest autorisé.unconfined_tfournit un accès complet, le même que lorsque SELinux n'est pas utilisé.
De même, les greffons de navigateurs utilisés avec nspluginwrapper, qui est l'option par défaut, fonctionnent dorénavavant de manière confinée.
15.5. Comportement par défaut du pare-feu
Dans Fedora 9, le comportement du pare-feu a changé. Il n'y a plus de ports ouverts par défaut, sauf pour SSH (22), qui est ouvert par Anaconda.
15.6. Informations générales
Une présentation générale sur les nombreuses fonctionnalités liées à la sécurité dans Fedora, leurs status actuels ainsi que les différentes politiques de gestion de la sécurité sont disponibles sur http://fedoraproject.org/wiki/Security.
15.7. SELinux
Les pages du projet SELinux proposent des astuces, des explications, des liens vers de la documentation et des références ainsi que certains liens très utiles :
Les nouvelles pages du projet SELinux : http://fedoraproject.org/wiki/SELinux
Pour des astuces en cas de problèmes : http://fedoraproject.org/wiki/SELinux/Troubleshooting
La Foire Aux Questions : http://docs.fedoraproject.org/selinux-faq/
La liste des commandes de SELinux : http://fedoraproject.org/wiki/SELinux/Commands
Des détails sur les domaines confinés : http://fedoraproject.org/wiki/SELinux/Domains
15.8. Free IPA
Free IPA est une installation qui gére centralement les identités, les stratégies et les audits.
Le programme d'installation du serveur IPA suggère un système relativement propre, installant et configurant différents services :
une instance de Fedora Directory Server
KDC
Apache
ntpd
TurboGears
Un certain effort est fait pour permettre d'annuler les changements effectués mais des problèmes peuvent subsister. De manière similaire l'outil ipa-client-install réécrit les configurations PAM (/etc/pam.conf) et Kerberos (/etc/krb5.conf).
IPA ne supporte pas les autres instances de Fedora Directory Server sur la même machine pendant l'installation, même en écoutant différents ports. Pour pouvoir installer IPA, les autres instances doivent être retirées. IPA peut effectuer cette opération de suppression.
Il n'y a pour l'instant aucun mécanismes pour migrer les utilisateurs existants sur un serveur IPA.
Le serveur s'auto-configure pour être un client lui-même. Si Directory Server ou KDC échoue à se lancer au démarrage, démarrez en mode mono-utilisateur pour pouvoir résoudre le problème.
Pour plus d'informations, veuillez consultez la page web suivante :