Fedora继续改进许多主动性安全特征.

Fedora 8 中 glibc 包含了密码的 SHA256 和 SHA512 散列模式支持。而过去，只有 DES 和 MD5 可用。在Fedora 9中，这些工具已经被更新。已经可以创建基于 SHA-256 和 SHA-512 散列模式的密码。

要将已安装的系统切换到 SHA-256 或 SHA-512 方式，使用 authconfig --passalgo=sha256 --update 或 authconfig --passalgo=sha512 --update 命令。或者，运行 authconfig-gtk 图形工具来配置散列方式。已有的用户帐号不会受影响，直到他们改变密码。

SHA-512 在新安装的系统中默认启用。其他算法只能在 kickstart 安装时进行配置，方法是在 kickstart 的 auth 命令中传递 --passalgo 或 --enablemd5 选项。如果你的系统不是用 kickstart 安装的，可以用 authconfig 切换，像上面说的那样，然后改变 root 的密码，以及其他用户的密码。

libuser , pam , 和 shadow-utils 现在支持新的选项，以支持不同的密码散列算法。运行 authconfig 会自动配置这些选项，不需要手动修改。

FORTIFY_SOURCE 保护机制现在覆盖了以下函数： asprintf，dprintf，vasprintf，vdprintf，obstack_printf 和 obstack_vprintf。这些改进对于使用 glib2 库的应用程序特别有益，因为这些函数使用了 vasprintf。

提供多种“角色”，从而支持更细致的权限控制。

另外，由nspluginwrapper 包裹的浏览器插件，默认运行在一个受限的上下文中。

在 Fedora 9 中，默认的防火墙行为同过去不同。除了 由 Anaconda 打开的 22 号 SSH 端口，所有端口都被禁用。

对 Fedora 中各种主动的安全特性的一般介绍，当前状态，以及安全策略，都可以在 http://fedoraproject.org/wiki/Security 看到。

新的 SELinux 项目页面包括排错提示，解释，以及到文档和参考内容的链接。一些有用的链接如下:

Free IPA 是一套集中管理的身份，策略和审计系统。

IPA 服务器安装程序在一个相对干净的系统上安装和配置以下服务:

虽然我们尽力提供对策略回滚的支持，但是仍然无法确保其可靠性。另外，ipa-client-install工具会覆盖老的 PAM (/etc/pam.conf) 和 Kerberos (/etc/krb5.conf)的配置。

IPA 不支持在安装时在同一个物理主机上的多个 Fedora 目录服务器，即使它们运行在不同的端口上。为了正常安装 IPA，确保其他 Fedora 目录服务器被删除。IPA 可以自行完成这个操作。

尚没有可行的方案来把现存的用户整合到 IPA 服务器中。

服务器自身也是自己的一个身份认证客户端。如果目录服务器或者 KDC 在启动时失败，必须进入单用户模式来解决问题。

更多信息，请访问下列页面:

http://fedoraproject.org/wiki/Features/freeIPA