15. Zabezpečenie
![[Tip]](./stylesheet-images/tip.png) |
Najnovšie poznámky k vydaniu na webe |
|---|---|
|
Poznámky k vydaniu mohli byť doplnené. Ich aktuálne vydanie nájdete na |
Tento odsek pojednáva o bezpečnosti a zabezpečení vo Fedore.
15.1. Vylepšenie zabezpečenia
Fedora naďalej vylepšuje proaktívne bezpečnostné funkcie.
15.2. Podpora pre SHA-256 a SHA-512 heslá.
Balíček glibc vo Fedore 8 mal podporu pre heslá používajúce algoritmy SHA256 a SHA512. Predtým boli k dispozícii len DES a MD5. Nástroje na vytvorenie hesiel boli vo Fedore 9 doplnené o ďalšie funkcie. Teraz je porporované hašovanie hesiel aj použitím funkcií SHA-256 a SHA-512.
Prepnúť nainštalovaný systém na používanie SHA-256 alebo SHA-512 môžete príkazom authconfig --passalgo=sha256 --update alebo authconfig --passalgo=sha512 --update. Tiež môžete použiť nástroj authconfig-gtk. Existujúce užívateľské účty nebudú ovplyvnené, kým ich heslá nebudú zmenené.
Na čerstvo inštalovaných systémoch je SHA-512 použité predvolene. Iné algoritmy môžu byť nastavené len pre kickstart inštalácie, použitím volieb --passalgo alebo --enablemd5 pre kickstart príkaz auth. Ak nepoužívate kickstart, použite authconfig podľa spomenutého návodu a zmeňte heslo užívateľa root a heslá užívateľov vytvorených po inštalácií.
Nové voľby na podporu týchto algoritmov sú teraz v libuser, pam a shadow-utils. Nie je potrebné meniť ich ručne, lebo authconfig ich nastavuje automaticky.
V sekcii
[defaults]súboru/etc/libuser.confje možné uvádzať nové hodnoty prepínačacrypt_stylea nové voľbyhash_rounds_minahash_rounds_max. Viac informácií sa nachádza v manuálovej stránkelibuser.conf(5).Podobne PAM modul
pam_unixakceptuje nové voľbysha256,sha512arounds. Viac informácií sa nachádza v manuálovej stránkepam_unix(8).Nové voľby
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSaSHA_CRYPT_MAX_ROUNDSv/etc/login.defssú taktiež podporované. Viac informácií sa nachádza v manuálovej stránkelogin.defs(5). Zodpovedajúce voľby boli pridané dochpasswd(8)anewusers(8).
15.3. FORTIFY_SOURCE bolo rozšírené na pokrytie väčšieho množstva funkcií
Ochrana FORTIFY_SOURCE teraz pokrýva asprintf, dprintf, vasprintf, vdprintf, obstack_printf a obstack_vprintf. Toto vylepšenie je obzvlášť prospešné pre aplikácie používajúce knižnicu glib2, pretože niekoľko z jej funkcií používa práve vasprintf.
15.4. Vylepšenia SELinux
Je dostupných viacej rôznych rolí, aby bolo možné presnejšie prispôsobovať riadenie prístupu:
guest_tzakazuje spúšťať setuid programy, vytváranie sieťových spojení alebo použitia GUI.xguest_tnepovoľuje prístup k sieti okrem HTTP použitím WWW prehliadača a taktiež zakazuje setuid programy.user_tje ideálny pre kancelárskych užívateľov: zabraňuje stať sa privilegovaným užívateľom pomocou setuid programov.staff_tje takmer zhodná suser_t, ale je povolený privilegovaný prístup pomocou príkazusudo.unconfined_tposkytuje plný prístup, rovnako ako keby SELinux nebol použitý.
A taktiež sa obmedzenia vzťahujú na pluginy WWW prehliadača, ktoré sú obalené pomocou nspluginwrapper.
15.5. Predvolené správanie firewallu
Vo Fedore 9 sa zmenilo prednastavenie firewallu. Žiadne porty nie sú predvolene otvorené, okrem portu pre SSH (22), ktorý je otvorený Anacondou.
15.6. Všeobecné informácie
Všeobecný úvod k mnohým proaktívnym bezpečnostným prvkom Fedory, aktuálny stav a politiky sú k dispozícii na http://fedoraproject.org/wiki/Security.
15.7. SELinux
Stránky projektu SELinux poskytujú rady a tipy na riešenia problémov, vysvetlivky a pripomienky k dokumentácii a odkazy. Užitočné odkazy sú:
Nové stránky projektu SELinux: http://fedoraproject.org/wiki/SELinux
Rady pre riešenie problémov: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Často kladené otázky (FAQ): http://docs.fedoraproject.org/selinux-faq/
Výpis SELinux príkazov: http://fedoraproject.org/wiki/SELinux/Commands
Podrobnosti o obmedzených doménach: http://fedoraproject.org/wiki/SELinux/Domains
15.8. Free IPA
Free IPA je inštalácia centrálnej správy identít, politík a auditu.
Inštalátor IPA servera predpokladá relatívne čistý systém, inštaláciu a konfiguráciu niekoľkých služieb:
a inštanciu Fedora Directory Servera
KDC
Apache
ntpd
TurboGears
Sú vykonávané niektoré kroky, ktoré by mali umožniť navrátiť vykonané zmeny, ale nieje zaručené, že budú za každých okolností fungovať. Príkaz ipa-client-install prepisuje nastavenie PAM (/etc/pam.conf) a Kerberos (/etc/krb5.conf).
IPA pri inštalácií nepodporuje iné inštancie Fedora Direcotry Servera na tom istom systéme, ani ak počúvajú na iných portoch. Na inštaláciu IPA musia byť ostatné inštancie odstránené, čo zvládne aj samotná inštalácia IPA.
Momentálne neexistuje mechanizmus na migráciu existujúcich užívateľov do servera IPA.
Server sa sám nastaví ako svoj vlastný klient. Ak spustenie Directory Servera alebo KDC po štarte systému zlyhá, na vyriešenie problému je potrebné naštartovať do jednoužívateľského režimu.
Viac informácii nájdete na stránke: