Fedora はその多くの革新的なセキュリティー機能 (security features) を向上し続けていきます。

Fedora 8 の glibc パッケージには SHA-256 と SHA-512 ハッシュを使ったパスワードの サポート がありました。以前は、DES と MD5 しか利用できませんでした。これらのツールは Fedora 9 で拡張されています。SHA-256 と SHA-512 ハッシュ関数を使ったパスワードのハッシュがサポートされるようになります。

インストールされているシステムで SHA-256 または SHA-512 に切り替えるには、authconfig --passalgo=sha256 --update または authconfig --passalgo=sha512 --update を使用します。ハッシュ法を設定するには、代わりに authconfig-gtk GUI ツールを使用します。既存のユーザーアカウントはパスワードを変更するまでは影響を受けません。

SHA-512 はデフォルトで新たにインストールするシステムに使用されます。他のアルゴリズムはキックスタートの auth コマンドに --passalgo or --enablemd5 オプションを使用するとキックスタートインストールでのみ設定が可能になります。インストールにキックスタートを使用しない場合は、上記のように authconfig を使用してから root ユーザーのパスワードおよびインストール後作成された他のユーザーのパスワードを変更します。

これらのパスワードハッシュ化アルゴリズムをサポートするため新しいオプションが libuser、pam、shadow-utils に現れるようになります。authconfig を実行するとこれらのオプションをすべて自動的に設定するので手動による修正は必要ありません。

FORTIFY_SOURCE 保護は今回、asprintfと、dprintf、vasprintf、vdprintf、obstack_printf、obstack_vprintfを含むようになりました。この改良は特に glib2 ライブラリーを使用するアプリケーションに便利です、というのはその機能のいくつかは vasprintf を使うからです。

より細かいアクセス制御を可能にする異なるロールが今回利用できます:

デフォルトである nspluginwrapper でラップされたブラウザ plug-ins は今回制限つきで実行されます。

Fedora 9 では、デフォルトファイアウォールの動作は異なります。Anaconda により開かれる SSH (22) 以外には、開いているデフォルトポートはありません。

Fedora での多くの革新的なセキュリティー機能に関する全般的な紹介、現在の状況、ポリシーについては http://fedoraproject.org/wiki/Security をご覧ください。

SELinux プロジェクトのページには、トラブルシュート、ヒント、説明、文書や参考文献へのポインターがあります。いくつかの便利なリンクは以下を含みます:

Free IPA は中央管理される ID、ポリシー、監査インストールになります。

IPA サーバーインストーラーは比較的クリーンなシステムを推測しいくつかのサービスをインストールして設定を行います。

行われた変更をロールバックできるようにする努力がなされましたが保障はしていません。同様に ipa-client-install ツールは PAM (/etc/pam.conf) および Kerberos (/etc/krb5.conf) の設定を上書きします。

IPA は別々のポートをリッスンしていてもインストール時同じマシン上にある Fedora Directory Server の他のインスタンスをサポートしません。IPA をインストールするには、他のインスタンスを削除しなければなりません。IPA 自体がこの削除を処理することができます。

現在、既存のユーザーを IPA サーバーに移植できるメカニズムはありません。

サーバーはそれ自体のクライアントとなるよう自己設定を行います。Directory Server または KDC がブートアップで起動に失敗するようなら、問題を解決するためシングルユーザーモードでブートしてください。

詳細についてはこの機能のページを参照してください。

http://fedoraproject.org/wiki/Features/freeIPA