Fedora continua a migliorare le sue molteplici caratteristiche di sicurezza.

Il pacchetto glibc in Fedora 8 disponeva del supporto per le password con hashing SHA256 e SHA512, mentre in precedenza erano disponibili solo DES e MD5. Questi strumenti sono stati estesi in Fedora 9: l'hashing delle password con le funzioni hash SHA-256 e SHA-512 è ora supportato.

Per passare all'hashing delle password con funzioni SHA-256 o SHA-512 su un sistema installato, usare il comando authconfig --passalgo=sha256 --update o authconfig --passalgo=sha512 --update. In alternativa, per configurare il metodo di hashing è possibile utilizzare lo strumento GUI authconfig-gtk. Gli account esistenti non subiranno alcun effetto fino alla successiva modifica della password.

SHA-512 è utilizzato per impostazione predefinita nelle nuove installazioni. Altri algoritmi possono essere configurati solo per le installazioni kickstart, usando le opzioni --passalgo o --enablemd5 per il comando kickstart auth. Se l'installazione non usa kickstart, usare authconfig come descritto sopra, quindi cambiare la password dell'utente root e le password degli altri utenti creati dopo l'installazione.

Nuove opzioni sono ora disponibili in libuser, pam, e shadow-utils per supportare questi algoritmi di hashing delle password. Eseguendo authconfig queste opzioni verranno configurate automaticamente, perciò non è necessario modificarle manualmente.

La protezione FORTIFY_SOURCE adesso copre asprintf, dprintf, vasprintf, vdprintf, obstack_printf e obstack_vprintf. Questo miglioramento è particolarmente utile per quelle applicazioni che usano la libreria glib2, in quanto diverse delle sue funzioni usano vasprintf.

Ora sono disponibili diversi ruoli, per permettere un controllo accessi finemente granulare:

Anche i plug-in del browser che usano nspluginwrapper, che è l'impostazione predefinita, adesso sono eseguiti in modo confinato.

In Fedora 9, il comportamento predefinito del firewall è stato cambiato. Non ci sono porte aperte predefinite, ad eccezione di SSH (22), che è aperta da Anaconda.

Una introduzione generale alle molteplici caratteristiche di sicurezza in Fedora, lo status corrente e le policies, sono disponibili su http://fedoraproject.org/wiki/Security.

Le pagine del progetto SELinux contengono suggerimenti per la risoluzione dei problemi, spiegazioni, e puntatori a documentazione e riferimenti. Alcuni link utili:

Free IPA è un'installazione amministrata centralmente di identità, policy, ed audit.

Il programma di installazione del server IPA assume la presenza di un sistema relativamente pulito, per installare e configurare diversi servizi:

Diversi sforzi sono stati fatti per consentire di tornare alle impostazioni precedenti, ma non è possibile garantirne il successo. In modo similare lo strumento ipa-client-install sovrascrive le configurazioni PAM (/etc/pam.conf) e Kerberos (/etc/krb5.conf).

IPA non supporta altre istanze di Fedora Directory Server sulla stessa macchina durante l'installazione, anche se sono in funzione su altre porte. Per poter installare IPA, le altre istanze devono essere rimosse e IPA stesso ne può gestire la rimozione.

Non c'è attualmente alcun meccanismo di migrazione degli utenti esistenti in un IPA server.

Il server si auto configura per essere un client di se stesso. Se l'avvio di Directory Server o KDC fallisce in fase di boot, si dovrà avviare il sistema in single-user mode per poter risolvere il problema.

Per maggiori informazioni, fare riferimento alla seguente pagina web:

http://fedoraproject.org/wiki/Features/freeIPA