Fedora fortsätter att förbättra sina många proaktiva säkerhetsfunktioner.

Paketet glibc i Fedora 8 hade stöd för lösenord som använde SHA-256- och SHA-512-hashfunktioner. Tidigare var endast DES och MD5 tillgängliga. Dessa verktyg har utökats i Fedora 9. Lösenordskontrollsummor som använder SHA-256- och SHA-512-hasfunktioner stöds nu.

För att byta till SHA-256 eller SHA-512 på ett installerat system, använd authconfig --passalgo=sha256 --update eller authconfig --passalgo=sha512 --update. Alternativt, använd det grafiska verktyget authconfig-gtk för att konfigurera hasningsmetod. Existerande användarkonton kommer inte att påverkas förrän deras lösenord ändras.

SHA-512 används som standard på nyinstallerade system. Andra algoritmer kan konfigureras endast för kickstartinstallationer genom att använda flaggorna --passalgo eller --enablemd5 till kickstartkommandot auth. Om dina installationer inte använder kickstart, använd authconfig som beskrivits ovan, och ändra sedan rootlösenordet och lösenorden för andra användare som skapats efter installationen.

Nya alternativ finns nu i libuser, pam, och shadow-utils för att stödja dessa lösenordshashningsalgoritmer. När man kör authconfig konfigurerar man alla dessa alternativ automatiskt, så det är inte nödvändigt att modifiera dem manuellt.

FORTIFY_SOURCE-skydd täcker nu asprintf, dprintf, vasprintf, vdprintf, obstack_printf och obstack_vprintf. Dessa förbättringar är speciellt användbara för tillämpningar som använder biblioteket glib2, eftersom flera av dess funktioner använder vasprintf-

Olika roller finns nu, för att möjligöra mer finkornig åtkomstkontroll:

Dessutom, insticksmoduler till webbläsare som kapslas in med nspluginwrapper, vilket är standard, körs numera begränsade.

I Fedora 9 har brandväggens standardbeteende ändrats. Det finns inga portar öppna som standard, utom för SSH (22), som öppnas av Anaconda.

En allmän introduktion till de många proaktiva säkerhetsfunktionerna i Fedora, nuvarande status och policyer finns tillgänglig på http://fedoraproject.org/wiki/Security.

Projektsidorna för SELinux har felsökningstips, förklaringar och referenser till dokumentation. En del användbara länkar inkluderar följande:

Free IPA är en centralt hanterad identitets-, policy- och granskningsinstallation.

IPA-serverns installerare förutsätter ett relativt rent system, och installerar och konfigurerar flera tjänster:

Vissa ansträngningar görs för att det skall vara möjligt att backa tillbaka ändringarna som gjorts men det är inte garanterat. På motsvarande sätt skriver verktyget ipa-client-install över PAM- (/etc/pam.conf) och Kerberoskonfigurationer (/etc/krb5.conf).

IPA stödjer inte andra instanser av Fedora Directory-servern på samma maskin vid installationstillfället, även om den lyssnar på andra portar. För att installera IPA måsta andra instanser tas bort. IPA kan själv sköta denna rensning.

Det finns för närvarande ingen mekanism för att migrera existerande användare till en IPA-server.

Servern självkonfigurerar till att vara en klient till sig själv. Om Directory Server eller KDC inte startar vid uppstart, starta till enanvändarläge för att reda ut problemet.

För mer information, gå till följande sida med funktioner:

http://fedoraproject.org/wiki/Features/freeIPA