15. Bezpieczeństwo
![[Podpowiedź]](./stylesheet-images/tip.png) |
Ostatnie Informacje o wydaniu w sieci |
|---|---|
|
Te informacje o wydaniu mogą zostać zaktualizowane. Aby zobaczyć najnowsze informacje o wydaniu Fedory, odwiedź: |
Ta sekcja omawia różne aspekty związane z bezpieczeństwem Fedory.
15.1. Ulepszenia bezpieczeństwa
Fedora dalej ulepsza swoje prewencyjne funkcje bezpieczeństwa.
15.2. Obsługa haseł SHA-256 i SHA-512
Pakiet glibc w Fedorze 8 posiadał obsługę haseł używających hashowania SHA-256 i SHA-512. Wcześniej dostępne były tylko hasła DES i MD5. Te narzędzia zostały rozszerzone w Fedorze 9. Hashowanie haseł używając funkcji hashowania SHA-256 i SHA-512 jest teraz obsługiwane.
Aby przełączyć na SHA-256 lub SHA-512 na zainstalowanym systemie, użyj authconfig --passalgo=sha256 --update lub authconfig --passalgo=sha512 --update. Można użyć także narzędzia GUI authconfig-gtk, aby skonfigurować metodę hashowania. Istniejące konta użytkowników nie zostaną zmodyfikowane, dopóki ich hasła nie zostaną zmienione.
SHA-512 jest domyślnie używane na nowo zainstalowanych systemach. Inne algorytmy mogą być konfigurowane tylko dla instalacji kickstart używając opcji --passalgo lub --enablemd5 dla polecenia kickstart auth. Jeśli instalacji nie używa kickstart, użyj authconfig, tak jak opisano powyżej, a potem zmień hasło użytkownika root i hasła innych użytkowników utworzonych po instalacji.
Nowe opcje pojawiły się w libuser, pam i shadow-utils, aby obsługiwać te algorytmy hashowania haseł. Uruchomienie authconfig automatycznie skonfiguruje te opcje, więc nie trzeba ich już ręcznie modyfikować.
Nowe wartości dla opcji
crypt_styleoraz nowe opcjehash_rounds_minihash_rounds_maxsą teraz obsługiwane w sekcji[defaults]pliku/etc/libuser.conf. Zobacz stronę podręcznikalibuser.conf(5), aby dowiedzieć się więcej.Nowe opcje
sha256,sha512orazroundssą teraz obsługiwane przez moduł PAMpam_unix. Zobacz stronę podręcznikapam_unix(8), aby dowiedzieć się więcej.Nowe opcje
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSorazSHA_CRYPT_MAX_ROUNDSsą teraz obsługiwane w/etc/login.defs. Zobacz stronę podręcznikalogin.defs(5), aby dowiedzieć się więcej. Odpowiednie opcje zostały dodane dochpasswd(8)inewusers(8).
15.3. FORTIFY_SOURCE zostało rozszerzone, aby pokrywać więcej funkcji
Ochrona FORTIFY_SOURCE pokrywa teraz asprintf, dprintf, vasprintf, vdprintf, obstack_printf i obstack_vprintf. To ulepszenie jest przydatne zwłaszcza dla aplikacji używających biblioteki glib2, ponieważ kilka jej funkcji używa vasprintf.
15.4. Ulepszenia SELinuksa
Dostępne są teraz różne role, aby umożliwić dokładniejszą kontrolę dostępu:
guest_tnie pozwala na uruchamianie binariów setuid, tworzenia połączeń sieciowych lub używania GUI.xguest_tnie pozwala na dostęp do sieci poza HTTP przez przeglądarkę WWW i uruchamianie binariów setuid.user_tjest idealna dla użytkowników biurowych: powstrzymuje używanie konta roota przez aplikacje setuid.staff_tjest takie samo jakuser_t, ale umożliwia dostęp roota przezsudo.unconfined_tdostarcza pełny dostęp, taki sam jak bez SELinuksa.
Podobnie wtyczki przeglądarek domyślnie używają nspluginwrapper i są ograniczane.
15.5. Domyślne zachowanie zapory sieciowej
W Fedorze 9 zmieniono domyślne zachowanie zapory sieciowej. Domyślnie żaden port nie jest otwarty, poza SSH (22), który jest otwierany przez Anacondę.
15.6. Ogólne informacje
Ogólne wprowadzenie do wielu prewencyjnych mechanizmów bezpieczeństwa w Fedorze, aktualny stan oraz polityki są dostępne na http://fedoraproject.org/wiki/Security.
15.7. SELinux
Strony projektu SELinux zawierają wskazówki dotyczące rozwiązywania problemów, objaśnienia oraz odnośniki do dokumentacji. Niektóre użyteczne odnośniki to:
Nowe strony projektu SELinux: http://fedoraproject.org/wiki/SELinux
Wskazówki dotyczące rozwiązywania problemów: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Najczęściej zadawane pytania: http://docs.fedoraproject.org/selinux-faq/
Lista poleceń SELinuksa: http://fedoraproject.org/wiki/SELinux/Commands
Szczegóły o ograniczanych domenach: http://fedoraproject.org/wiki/SELinux/Domains
15.8. Free IPA
Free IPA jest centralnie zarządzaną instalacją tożsamości, polityki i audytowania.
Instalator serwera IPA przyjmuje relatywnie czysty system, instalując i konfigurując kilka usług:
serwer katalogujący Fedory
KDC
Apache
ntpd
TurboGears
Postarano się, aby można było cofnąć wprowadzone zmiany, ale nie jest to gwarantowane. Podobnie narzędzie ipa-client-install zastępuje konfiguracje PAM (/etc/pam.conf) i Kerberosa (/etc/krb5.conf).
IPA nie obsługuje innych serwerów katalogujących Fedory na tym samym komputerze podczas instalacji, nawet nasłuchujących na innych portach. Aby zainstalować IPA, inne serwery muszą zostać usunięte. IPA sama może obsłużyć to usunięcie.
Obecnie nie ma mechanizmu do migrowania istniejących użytkowników do serwera IPA.
Serwer sam się skonfiguruje, aby być swoim klientem. Jeśli serwer katalogujący lub KDC nie wystartuje podczas uruchomienia systemu, włącz tryb jednego użytkownika, aby rozwiązać ten problem.
Aby dowiedzieć się więcej, odwiedź tę stronę: