Fedora continua melhorando muitas das funcionalidades de segurança pró-ativas security features.

O pacote glibc no Fedora 8 tinha suporte para senhas usando codificação SHA256 e SHA512. Antes apenas DES e MD5 estavam disponíveis. Estas ferramentas foram extendidas ao Fedora9. Senhas usando SHA-256 e SHA-512 agora são suportadas.

Para mudar para SHA-256 ou SHA-512 em um sistema instalado, use authconfig --passalgo=sha256 --update ou authconfig --passalgo=sha512 --update. Alternativamente, use a ferramenta gráfica authconfig-gtk para configurar o método de hash. Contas de usuários já existentes não serão afetadas até que suas senhas sejam alteradas.

SHA-512 é utilizado por padrão em sistemas novos. Outros algoritmos podem ser configurados apenas em instalações via kickstart, utilizando as opções --passalgo ou --enablemd5 no comando auth do kickstart. Se sua instalação não utiliza o kickstart, use o authconfig como descrito acima e então mude a senha do usuário root e as senhas de outros usuários que foram criados depois da instalação.

Novas opções irão aparecer nas bibliotecas libuser, pam e shadow-utils para suportar estes algoritmos de senhas. Executando authconfig fará com que todas estas opções sejam configuradas automaticamente, então não é necessário modificá-las manualmente.

A proteção FORTIFY_SOURCE agora cobre as funções asprintf, dprintf, vasprintf, vdprintf, obstack_printf e obstack_vprintf. Esta melhora é particularmente útil para aplicações que utilizam a biblioteca glib2, pois muitas de suas funções utilizam vasprintf.

Diferentes papeis/perfís agora estão disponíveis para permitir o controle de acesso a ajustes finos:

Também, o navegador com o plugin nspluginwrapper adicionado, que é o padrão, agora roda confinado.

No Fedora 9, o comportamento padrão do firewall mudou. Não existem portas abertas por padrão, exceto para o SSH (22), que é aberta pelo Anaconda.

Uma introdução geral para muitas das funcionalidades de segurança pró-ativas no Fedora, sua situação atual e políticas estão disponíveis em http://fedoraproject.org/wiki/Security.

As páginas do projeto SELinux têm dicas sobre soluções de problemas, explicações e sugestões para outras documentações e referências. Alguns dos links úteis:

Free IPA é um gerente de identidade centralizado, política e auditoria.

O instalador de servidor IPA assume um sistema relativamente limpo, instalando e configurando vários serviços:

Alguns esforços são feitos para estar apto a desfazer (roll back) as mudanças feitas, mas estas não são garantidas. O utilitário ipa-client-install sobrescreve as configurações do PAM (/etc/pam.conf) e do Kerberos (/etc/krb5.conf).

O IPA não suporta outras instâncias do Fedora Directory Server na mesma máquina durante a instalação, mesmo escutando em portas diferentes. Para que o IPA possa ser instalado, outras instâncias devem ser removidas. O próprio IPA pode manipular esta remoção.

Não existe atualmente nenhum mecanismo para migração de usuários para um servidor IPA.

O servidor se alto configura para ser um cliente dele mesmo. Se o Directory Server ou o KDC falharem na inicialização, inicialize a máquina em modo simples usuário (single) a fim de resolver o problema.

Para encontrar mais informações, veja as seguintes páginas Web:

http://fedoraproject.org/wiki/Features/freeIPA