Fedora continue de s'améliorer dans de nombreuses options sécuritaires.

Le paquet glibc dans Fedora 8 incluait le support pour les mots de passe utilisant le hachage SHA-256 et SHA-512. Avant seuls DES et MD5 étaient possibles. Ces outils ont été étendus pour Fedora 9. Le hachage de mot de passe utilisant les fonctions de hachage SHA-256 et SHA-512 est maintenant supporté.

Pour passer de SHA-256 à SHA-512 sur un système installé, utilisez les commandes authconfig --passalgo=sha256 --update ou authconfig --passalgo=sha512 --update. Vous pouvez aussi utiliser comme alternative authconfig-gtk, l'outil GUI pour configurer la méthode de hachage. Les comptes d'utilisateur existants ne vont pas être affectés jusqu'à ce que leur mot de passe soit modifié.

SHA-512 est utilisé par défaut sur les systèmes nouvellement installés. D'autres algorithmes peuvent être configurés seulement pour les installations « kickstart », en utilisant les options --passalgo ou --enablemd5 pour la commande « kickstart » auth. Si votre installation n'utilise pas « kickstart », utilisez authconfig comme décrit si dessus, et ensuite changez le mot de passe root, et les mots de passe pour les autres utilisateurs créés après l'installation.

De nouvelles options apparaissent dans libuser , pam , et shadow-utils pour le support de ces algorithmes de hachage de mot de passe. Faire tourner authconfig configure toutes ces options automatiquement, il n'est donc pas nécessaire de les modifier manuellement.

Une présentation générale sur les nombreuses fonctionnalités liées à la sécurité dans Fedora, leurs états actuels ainsi que les différentes politiques de gestion de la sécurité sont disponibles sur http://fedoraproject.org/wiki/Security.

Les pages du projet SELinux proposent des astuces, des indications de documentation et des références ainsi que certains liens très utiles :

L'IPA libre est une identité gérée centralement, stratégie, et installation audit.

L'installateur du serveur IPA suggère un système relativement propre, installant et configurant différents services.

Un certain effort est fait pour permettre d'annuler les changements faits mais ils ne sont pas garantis. De manière similaire l'outil ipa-client-install réécrit les configurations PAM (/etc/pam.conf) et Kerberos (/etc/krb5.conf)

L'IPA ne supporte pas les autres instances de répertoire serveur de Fedora sur la même machine pendant le temps de l'installation, même en écoutant différents ports. Pour pouvoir installer IPA, d'autre instances doivent être enlevées. IPA ne peut prendre en charge ceci lui-même.

Il n'y a pour l'instant aucun mécanismes pour migrer les utilisateurs existants sur un serveur IPA.

Le serveur s'auto-configure pour être un client lui-même. Si le répertoire du serveur ou KDC n'arrive pas à se lancer au démarrage, démarrez en temps qu'utilisateur seul pour pouvoir résoudre le problème.

Pour plus d'informations, veuillez consulter la page web suivante :

http://fedoraproject.org/wiki/Features/freeIPA