15. Seguridad
![[Sugerencia]](./stylesheet-images/tip.png) |
Ultimas Notas de la Versión en la Web |
|---|---|
|
Estas notas del lanzamiento pueden ser actualizadas. Para ver la última versión de las notas del lanzamiento de Fedora, visite: |
Esta sección enfoca varios items de seguridad desde Fedora.
15.1. Mejoras de Seguridad
Fedora continúa mejorando sus muchas características de seguridad proactivas.
El paquete glibc en Fedora 8 tenía soporte para contraseñas usando el hashing SHA-256 y SHA-512. Antes, solamente DES y MD5 estaban disponibles. Estas herramientas han sido extendidas en Fedora 9. Ahora hay soporte para el hashing de contraseñas usando las funciones de hash SHA-256 y SHA-512.
Para cambiar a SHA-256 o SHA-512 en un sistema instalado, use authconfig --passalgo=sha256 --update o authconfig --passalgo=sha512 --update. Como alternativa, use la herramienta gráfica authconfig-gtk para configurar el método de hashing. Las cuentas de los usuarios actuales no serán afectadas hasta que sus contraseñas sean cambiadas.
SHA-512 se usa por defecto en sistemas nuevos instalados. Los demás algoritmos se pueden configurar solamente para instalaciones kickstart, usando las opciones --passalgo o --enablemd5 en el comando auth. Si su instalación no usa kickstart, use authconfig como se describe más arriba y luego cambie la contraseña de root, y las contraseñas de los demás usuarios creados luego de la instalación.
Las opciones nuevas ahora aparecen en libuser, pam y shadow-utils para dar soporte a estos algoritmos de hashing de contraseñas. Al ejecutar authconfig se configuran todas estas opciones automáticamente, por lo que no es necesario modificarlas manualmente.
Ahora hay soporte para nuevos valores en la opción
crypt_style,hash_rounds_minyhash_rounds_maxen la sección[defaults]de/etc/libuser.conf. Vaya a la página man delibuser.conf(5)para más detalles.Las opciones nuevas,
sha256,sha512yroundsson ahora soportados por el módulo PAMpam_unix. Vaya a la página man depam_unix(8)para más detalles.Las nuevas opciones,
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSySHA_CRYPT_MAX_ROUNDSson ahora soportados en/etc/login.defs. Vaya a la página man delogin.defs(5)para más detalles. Las opciones correspondientes se agregaron achpasswd(8)ynewusers(8).
15.2. Información General
Una introducción general a las muchas características de seguridad proactiva en Fedora, el estado actual y las políticas disponibles en http://fedoraproject.org/wiki/Security.
15.3. SELinux
Las páginas del proyecto SELinux tienen consejos para resolución de problemas, explicaciones y enlaces a documentación y referencias. Algunos enlaces útiles incluyen los siguientes:
Páginas nuevas del proyecto SELinux: http://fedoraproject.org/wiki/SELinux
Consejos para resolución de problemas: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Preguntas más Frecuentes: http://docs.fedoraproject.org/selinux-faq/
Listado de los comandos SELinux: http://fedoraproject.org/wiki/SELinux/Commands
Detalles de los dominios confinados: http://fedoraproject.org/wiki/SELinux/Domains
15.4. IPA Libre
El IPA Libre es una instalación centralizada de administración de identidad, política y auditoría.
El instalador del servidor IPA asume un sistema relativamente limpio, e instala y configura varios servicios:
una instancia del Servidor de Directorio de Fedora
KDC
Apache
ntpd
TurboGears
Se realizó cierto esfuerzo para poder volver atrás los cambios hechos pero no son garantizados. De manera similar, la herramienta ipa-client-install sobreescribe las configuraciones PAM (/etc/pam.conf) y Kerberos (/etc/krb5.conf).
IPA no da soporte a otras instancias de Servidor de Directorio de Fedora en la misma máquina al mismo momento, aún cuando escuchan en puertos diferentes. Para poder instalar IPA, las otras instancias deben ser eliminadas. IPA puede realizar esta eliminación.
Actualmente no hay un mecanismo para migrar usuarios existentes en un servidor IPA.
El servidor se autoconfigura para ser un cliente de si mismo. Si el Servidor de Directorio o KDC fallan al iniciar durante el arranque, arranque en modo monousuario para poder resolver este problema.
Para más información, vaya a esta página de características: