15. Bezbednost

15. Bezbednost
Prethodni		Sledeći

	Najsvežije beleške o izdanju na vebu
Ovaj tekst je podložan izmenama. Za najsvežiju verziju teksta za Fedora, posetite: http://docs.fedoraproject.org/release-notes/

Najsvežije beleške o izdanju na vebu

Ovaj tekst je podložan izmenama. Za najsvežiju verziju teksta za Fedora, posetite:

http://docs.fedoraproject.org/release-notes/

Ovaj odeljak ističe razne bezbednosne stavke na Fedora sistemu

15.1. Bezbednosna unapređenja

Fedora nastavlja da unapređuje mnoge proaktivne bezbednosne mogućnosti.

15.2. Podrška za SHA-256 i SHA-512 lozinke

Paket glibc u Fedori 8 je imao podršku za lozinke koje koriste SHA-256 i SHA-512 heširanje. Ranije su bili dostupni samo DES i MD5. Ova alatka je u Fedori 9 unapređena. Heširanje lozinki korišćenjem heš funkcija SHA-256 i SHA-512 je sada podržano.

Radi prebacivanja na SHA-256 ili SHA-512 na instaliranom sistemu, koristite authconfig --passalgo=sha256 --update ili authconfig --passalgo=sha512 --update. Za podešavanje metoda heširanja možete koristiti još i grafičku alatku authconfig-gtk. Ovim postupkom postojeći nalozi neće biti obuhvaćeni dok im se ne izmene lozinke.

Na sveže instaliranim sistemima podrazumevano se koristi SHA-512. Drugi algoritmi mogu se podesiti samo za instalacije kickstart, korišćenjem opcija --passalgo ili --enablemd5 za kickstart naredbu auth. Ukoliko Vaša instalacija ne koristi kickstart, upotrebite authconfig kao što je gore opisano, pa promenite lozinku root korisnika i ostalih korisnika koji su načinjeni nakon instalacije.

Nove se opcije sada nalaze u libuser , pam i shadow-utils, radi podrške heširanju algoritama lozinki. Pokretanjem authconfig sve ove opcije se podešavaju automatski, tako da nije potrebno njihovo ručno menjanje.

Nove vrednosti za opciju crypt_style, i nove opcije hash_rounds_min i hash_rounds_max, sada su podržane u [defaults] odeljku /etc/libuser.conf. Za detalje pogledajte stranicu uputstva libuser.conf(5).
Nove opcije, sha256, sha512 i rounds, PAM modul pam_unix sada podržava. eare now supported by the PAM module. Za detalje pogledajte stranicu uputstva pam_unix(8).
Nove opcije, ENCRYPT_METHOD, SHA_CRYPT_MIN_ROUNDS i SHA_CRYPT_MAX_ROUNDS, sada su podržane u /etc/login.defs. Za detalje pogledajte stranicu uputstva login.defs(5). Odgovarajuće opcije su dodate u chpasswd(8) i newusers(8).

15.3. FORTIFY_SOURCE je proširen i pokriva sada više funkcija

FORTIFY_SOURCE zaštita sada pokriva asprintf, dprintf, vasprintf, vdprintf, obstack_printf i obstack_vprintf. Ova poboljšanja su naročito korisna za programe koji koriste glib2 biblioteku, pošto nekoliko njenih funkcija koriste vasprintf.

15.4. SELinux unapređenja

Sada su dostupne nove uloge koje se mogu koristiti za bolju kontrolu pristupa:

guest_t ne dozvoljava pokretanje setuid binarnih datoteka,
xguest_t ne dozvoljava mrežni pristup osim HTTP protokola preko veb čitača, takođe zabranjuje setuid binarne datoteke.
user_t je savršen za kancelarijske korisinike, zabranjuje prebacivanje na root koristeđi setuid programe.
staff_t je isto što i user_t, osim što je pristup root nalogu preko sudo naredbe dozvoljen.
unconfined_t pruža potpun pristup, što je isto kao i da se ne koristi SELinux.

Takođe, dodaci za veb čitače zamotani sa nspluginwrapper-om, što je podrazumevano, sada rade sa ograničenim ovlašćenjima.

15.5. Podrazumevano ponašanje zaštitnog zida

U Fedori 9, podrazumevano ponašanje zaštitnog zida je promenjeno. Više nema podrazumevano otvorenih portova, osim porta za SSH (22), kojeg otvara program Anaconda.

15.6. Opšte informacije

Opšti uvod u mnoga proaktivna bezbednosna svojstva Fedora sistema, trenutno stanje i polise je dostupan na http://fedoraproject.org/wiki/Security.

15.7. SELinux

Stranice SELinux projekta sadrže savete za rešavanje problema, objašnjenja i putokaze do dokumentacije i referenci. Slede neke od korisnih veza:

Nove stranice SELinux projekta: http://fedoraproject.org/wiki/SELinux
Saveti za rešavanje problema: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Česta pitanja: http://docs.fedoraproject.org/selinux-faq/
Spisak SELinux naredbi: http://fedoraproject.org/wiki/SELinux/Commands
Detalji o ograničenim domenima: http://fedoraproject.org/wiki/SELinux/Domains

15.8. Slobodan IPA

Slobodan IPA je centralno upravljana instalacija identiteta, politike i kontrole.

Instalater IPA servera pretpostavlja relativno čist sistem, na kome instalira i podešava nekoliko servisa:

instanca Fedora Directory Server
KDC
Apache
ntpd
TurboGears

Učinjen je napor u omogućavanju opovrgavanja načinjenih izmena, međutim to nije garantovano. Na sličan način alatka ipa-client-install prepisuje PAM podešavanja (/etc/pam.conf) i Kerberos (/etc/krb5.conf).

IPA ne podržava prilikom instalacije druge instance Fedora Directory Server na istoj mašini, čak ni slušanje na različitim portovima. Radi instalacije IPA, ostale instance moraju biti uklonjene. Sam IPA može obaviti ovo uklanjanje.

Ne postoji trenutno mehanizam za prebacivanje postojećih korisnika na IPA server.

Server se sam podešava da bude klijent. Ukoliko Directory Server ili KDC ne uspeju da se pokrenu pri podizanju sistema, podignite ga u režimu jednog korisnika kako bi rešili problem.

Za više informacija, pogledajte sledeću stranicu:

http://fedoraproject.org/wiki/Features/freeIPA

Prethodni		Sledeći
14. Razvoj	Početak	16. Java