Fedora fährt fort mit der Verbesserung seiner viele proaktiven Sicherheitseigenschaften.

Das glibc-Paket in Fedora 8 bietet nun Unterstützung für Passwörter, welche SHA-256 und SHA-512-Hashing benutzen. Vorher waren nur DES und MD5 verfügbar. Die Werkzeuge zum Erzeugen von Passwörtern wurden in Fedora 9 erweitert. SHA-256 und SHA-512-Hashing-Funktionen werden jetzt unterstützt.

To switch to SHA-256 or SHA-512 on an installed system, use authconfig --passalgo=sha256 --update or authconfig --passalgo=sha512 --update. Alternatively, use the authconfig-gtk GUI tool to configure the hashing method. Existing user accounts will not be affected until their passwords are changed.

Auf neu installierten Systemen wird SHA-512 standardmäßig verwendet. Andere Algorithmen können nur bei Kickstart-Installationen verwendet werden, indem dem Kickstart-Befehl auth die Optionen --passalgo oder --enablemd5 übergeben werden. Falls Sie keine Kickstart-Installation verwenden, so nutzen Sie den authconfig-Befehl wie oben beschrieben und ändern Sie anschließend das root-Passwort sowie die Passwörter anderer Benutzer, die nach der Installation angelegt wurden.

Neue Optionen zur Unterstützung dieser Passwort-Hashing-Algorithmen gibt es in den Paketen libuser , pam und shadow-utils . Das Ausführen von authconfig konfiguriert alle diese Optionen automatisch, so dass es nicht notwendig ist, sie manuell zu verändern.

Eine allgemeine Einführung zu den zahlreichen proaktiven Sicherheitsfunktionen in Fedora, dem aktuellen Status und den Richtlinien sind unter verfügbar.

Die neuen SELinux-Projektseiten enthalten Tipps zur Problembehebung, Erläuterungen und Verweise auf Dokumentation und Referenzen. Einige nützliche Links enthalten unter anderem folgendes:

Free IPA ist ein zentralverwaltete Identifikations-, Richtlinien- und Audit-Installation.

Die IPA-Serverinstallation setzt ein relativ sauberes System voraus und installiert und konfiguriert mehrere Dienste:

Es wurden einige Bemühungen unternommen, um die Änderungen rückgängig zu machen aber der Erfolg ist nicht garantiert. In gleicher Weise überschreibt das Werkzeug ipa-client-install die Konfigurationen von PAM (/etc/pam.conf) und Kerberos (/etc/krb5.conf).

IPA unterstützt keine anderen Instanzen des Fedora Directory Server auf der gleichen Maschine zum Installationszeitpunkt, auch wenn er auf anderen Ports lauscht. Zum Installieren von IPA, müssen Sie die anderen instanzen entfernen. IPA kann dieses Entfernen selber handhaben.

Es gibt momentan keinen Mechanismus für die Migration von bestehenden Benutzern in einen IPA-Server.

Der Server konfiguriert sich als Client von sich selber. Wenn der Start des Verzeichnis-Server oder KDC beim Start fehlschlägt, starten Sie im single-user-Modus, um dieses Problem zu lösen.

Für mehr Informationen, beziehen Sie sich bitte auf die Eigenschaft-Seite:

http://fedoraproject.org/wiki/Features/freeIPA