initCommon(); $template->displayHeader(); ?>

15. Beveiliging

[Tip] Nieuwste uitgave-informatie op het web

Deze vrijgave informatie kan vernieuwd zijn. Om de laatste vrijgave informatie voor Fedora te bekijken, bezoek:

http://docs.fedoraproject.org/release-notes/

Deze sectie bevat informatie over verschillende beveiligings items van Fedora.

15.1. Veiligheids Verbeteringen

Fedora gaat door met het verbeteren van zijn vele pro-actieve veiligheids kenmerken.

15.2. Ondersteuning voor SHA-256 en SHA-512 wachtwoorden

Het glibc pakket in Fedora 8 had ondersteuning voor wachtwoorden met SHA-256 en SHA-512 hashing. Daarvoor waren alleen DES en MD5 beschikbaar. Deze gereedschappen zijn in Fedora 9 uitgebreid. Wachtwoord hashing met gebruik van de SHA-256 en SHA-512 hash functies wordt nu ondersteund.

Om over te stappen naar SHA-256 of SHA-512 op een geinstalleerd systeem, gebruik je authconfig --passalgo=sha256 --update of authconfig --passalgo=sha512 --update. Als alternatief kun je het authconfig-gtk GUI gereedschap gebruiken om de hash methode te configureren. Bestaande gebruiker accounts zullen niet beinvloed worden totdat hun wachtwoorden worden veranderd.

SHA-512 wordt standaard op nieuw geinstalleerde systemen gebruikt. Andere algoritmes kunnen alleen voor kickstart installaties ingesteld worden door de --passalgo of --enablemd5 opties voot het kickstart auth commando. Als jouw installatie kickstart niet gebruikt, gebruik dan authconfig als hier boven beschreven, en verander dan het root wachtwoord, en wachtwoorden voor andere gebruikers die zijn aangemaakt na de installatie.

Nieuwe opties zijn toegevoegd aan libuser, pam, en shadow-utils om deze wachtwoord hash algoritmes te ondersteunen. Door het commando authconfig uit te voeren worden al deze opties automatisch ingesteld, het is dus niet nodig om deze handmatig te veranderen.

  • Nieuwe waarden voor de crypt_style optie, en de nieuwe opties hash_rounds_min, en hash_rounds_max,worden nu ondersteund in het [defaults] gedeelte van /etc/libuser.conf. Refereer naar de libuser.conf(5) manual pagina voor details.

  • Nieuwe opties, sha256, sha512, en rounds, worden nu ondersteund door de pam_unix PAM module. Refereer naar de pam_unix(8) manual voor details.

  • Nieuwe opties, ENCRYPT_METHOD, SHA_CRYPT_MIN_ROUNDS, en SHA_CRYPT_MAX_ROUNDS, worden nu ondersteund in /etc/login.defs. Refereer naar de login.defs(5) manual pagina voor details. Overeenkomstige opties zijn toegevoegd aan chpasswd(8) en newusers(8).

15.3. FORTIFY_SOURCE uitgebreid om meer functies af te dekken

FORTIFY_SOURCE bescherming bevat nu asprintf, dprintf, vasprintf, vdprintf, obstack_printf en obstack_vprintf. Deze verbetering is vooral nuttig voor toepassingen die de glib2 bibliotheek gebruiken, waarvan verscheidene functies vasprintf gebruiken.

15.4. SELinux Verbeteringen

Verschillende rollen zijn nu beschikbaar om een fijn korreliger toegangs controle toe te staan:

  • guest_t staat niet toe om setuid binaries te draaien, netwerk verbindingen te maken, of een GUI te gebruiken.

  • xguest_t staat netwerk toegang niet toe behalve voorHTTP via een Web browser, en geen setuid binaries.

  • user_t is ideaal voor kantoor gebruikers: het voorkomt om root te worden via setuid toepassingen.

  • staff_t ishetzelfde als user_t, behalve dat root toegang via sudo is toegestaan.

  • unconfined_t biedt volledige toegang, net alsof SELinux niet gebruikt wordt.

Bovedien draaien browser plug-ins die verhult zijn met nspluginwrapper, wat de standaard is, nu ingeperkt.

15.5. Standaard Firewall Gedrag

In Fedora 9 is het standaard firewall gedrag veranderd. Er zijn standaard geen poorten open, behalve voor SSH (22), die door Anaconda wordt opengezet.

15.6. Algemene informatie

Een algemene introductie van de vele pro-actieve beveiligingsmogelijkheden in Fedora, de huidige status en policies is beschikbaar op http://fedoraproject.org/wiki/Security.

15.7. SELinux

De SELinux project pagina's bevatten tips voor het oplossen van problemen, uitleg en wijzers naar documentatie en andere verwijzingen. Een paar nuttige verwijzingen zijn onder andere:

15.8. freeIPA

freeIPA is een centraal beheerde identiteit, tactiek en controle installatie.

De IPA server installer veronderstelt een relatief schoon systeem en installeert en configureert verscheidene diensten:

  • een Fedora Directory Server instantie

  • KDC

  • Apache

  • ntpd

  • TurboGears

Er is moeite gedaan om in staat te zijn de gemaakte veranderingen terug te schroeven maar dit wordt niet gegarandeerd. Op vergelijkbare manier overschrijft het ipa-client-install de PAM (/etc/pam.conf) en Kerberos (/etc/krb5.conf) configuraties.

IPA ondersteunt geen andere instanties van Fedora Directory Server op dezelfde machine tijdens de installatie, ook als ze naar andere poorten luisteren. Om IPA te installeren, moeten de andere instanties verwijderd worden. IPA kan dit zelf afhandelen.

Op dit moment is er geen mogelijkheid om bestaande gebruikers naar een IPA server te migreren.

De server configureert zich om een client van zichzelf te zijn. Als de Directory Server of KDC niet opstart tijdens het booten, boot dan in de enkele-gebruikers mode om het probleem op te lossen.

Voor meer informatie, refereer je naar deze pagina:

http://fedoraproject.org/wiki/Features/freeIPA

displayFooter('$Date: 2008/05/12 21:35:54 $'); ?>