15. אבטחה
![[עצה]](./stylesheet-images/tip.png) |
הודעת השחרור האחרונה באינטרנט |
|---|---|
|
יתכן והודעת שחרור זו תעודכן. בכדי לראות את הגרסה העדכנית ביותר, בקרו בכתובת: |
סעיף זה מבליט נושאי אבטחה שונים בפדורה
15.1. שיפורי אבטחה
פדורה ממשיכה לשפר את מגוון תכונות האבטחה המונעת שלה.
15.2. תמיכה בסיסמאות מבוססות SHA-256 ו-SHA-512
בפדורה 8 חבילת glibc כללה תמיכה בססמאות המשתמשות בערבול SHA-256 ו-SHA-512. בעבר, היו זמינים רק מנגנוני DES ו-MD5. כלים אלו שודרגו בפדורה 9, כך שערבול ססמאות בעזרת SHA-256 ו-SHA-512 נתמך.
כדי לעבור לשימוש ב-SHA-256 או SHA-512 על מערכת קיימת, יש להשתמש בפקודה authconfig --passalgo=sha256 --update או authconfig --passalgo=sha512 --update בהתאמה. לחלופין, ניתן להשתמש בכלי הגרפי authconfig-gtk כדי לבחור את תצורת ערבול הססמאות. ססמאות קיימות לא יושפעו עד אשר בעליהן יעדכנו את הסיסמא.
התקנות חדשות משתמשות ב-SHA-512 כברירת מחדל. ניתן לבחור אלגוריתמי ערבול אחרים רק בזמן התקנות kickstart, על ידי שימוש באפשרויות --passalgo או --enablemd5 לפקודת auth של kickstart. בהתקנה שאינה התקנת kickstart, יש להשתמש ב-authconfig כמתואר לעיל, ואז לעדכן את ססמת משתמש העל (root) ומשתמשים אחרים שנוצרו מאז ההתקנה.
נוספו אפשרויות לחבילות libuser, pam , וכן shadow-utils כדי לתמוך באלגוריתמי ערבול הססמאות הללו. שימוש ב-authconfig מעדכן את התצורות של חבילות אלו באופן אוטומטי, כך שלא נדרשת התערבות ידנית.
בסעיף
[defaults]של/etc/libuser.confנוספה תמיכה בעוד ערכים אפשריים ל-crypt_styleובאפשרויותhash_rounds_min, ו-hash_rounds_max. לפירוט מלא אנא פנו לדף התיעודlibuser.conf(5).רכיב
pam_unixשל מנגנון PAM תומך עתה באפשרויות החדשותsha256,sha512, ו-rounds. לפירוט מלא אנא פנו לדף התיעודpam_unix(8).בקובץ
/etc/login.defsנוספו האפשרויותENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSו-SHA_CRYPT_MAX_ROUNDS. לפירוט מלא אנא פנו לדף התיעודlogin.defs(5). אפשרויות תואמות נוספו גם ל-chpasswd(8)ול-newusers(8).
15.3. הרחבת השימוש ב-FORTIFY_SOURCE לפונקציות נוספות
הגנת FORTIFY_SOURCE מכסה כעת את הפונקציות asprintf, dprintf, vasprintf, vdprintf, obstack_printf ו-obstack_vprintf. שיפור זה מועיל במיוחד לישומים המשתמשים בספריית glib2, כיוון שחלק מהפונקציות שלה משתמשות בפונקציהvasprintf.
15.4. שיפורי SELinux
כדי לאפשר בקרת גישה מדויקת יותר, מוגדרים כעת כמה בעלי תפקידים:
ל-
guest_tאין רשות להריץ יישומי setuid, להתחבר לרשת, או להשתמש בממשק גרפי.ל-
xguest_tאין רשות להריץ יישומי setuid ולהתחבר לרשת, פרט לשימוש בפרוטוקול HTTP דרך דפדפן.הגדרת
user_tמותאמת למשתמשים משרדיים: נמנעת מהם היכולת להשתמש ביישומי setuid כדי להפוך למשתמשי על.הגדרת
staff_tזהה ל-user_t, פרט לכך שהיא מאפשרת שימוש ב-sudo כדי לבצע פעולות של משתמש על.הגדרת
unconfined_tמספקת גישה מלאה, בדיוק כפי שקורה כשלא משתמשים ב-SELinux.
כמו כן, תוספים לדפדפן האינטרנט העטופים כברירת מחדל ב-nspluginwrapper, מופעלים כעת בסביבה ממודרת.
15.5. התנהגות ברירת מחדל של חומת האש
בפדורה 9 שונתה התנהגות ברירת המחדל של חומת האש. מעתה, אין כניסות רשת (port) פתוחים כברירת מחדל, פרט ל-SSH (כניסה 22), הנפתח על ידי Anaconda.
15.6. מידע כללי
מבוא כללי למגוון תכונות האבטחה המונעת בפדורה, המדיניות והמצב הנוכחי נמצא ב-http://fedoraproject.org/wiki/Security.
15.7. SELinux
בדפי פרויקט SELinux יש הסברים, עצות לאיתור תקלות והכוונה לתיעוד נוסף. להלן מספר קישורים מועילים:
דפי פרויקט SELinux החדשים: http://fedoraproject.org/wiki/SELinux
עצות לאיתור תקלות: http://fedoraproject.org/wiki/SELinux/Troubleshooting
שאלות נפוצות: http://docs.fedoraproject.org/selinux-faq/
רשימת פקודות SELinux: http://fedoraproject.org/wiki/SELinux/Commands
פרטי המתחמים הממודרים: http://fedoraproject.org/wiki/SELinux/Domains
15.8. Free IPA
התקנת Free IPA מספקת ניהול מרכזי של זהויות, מדיניות ומעקב.
כלי התקנת שרת IPA מניח מערכת נקיה יחסית, תוך התקנה וקביעת תצורה למספר שירותים:
שרת Fedora Directory Server
KDC
Apache
ntpd
TurboGears
למרות שנעשה מאמץ מסוים לשחזר את השינויים שנעשו, אין לכך הבטחה. באופן דומה, הפעלת ipa-client-install דורסת את תצורת PAM (הקובץ /etc/pam.conf) ואת תצורת Kerberos (הקובץ /etc/krb5.conf).
שרת IPA אינו תומך בהפעלת עותקים נוספים של Fedora Directory Server על גבי אותו המחשב, אפילו אם הם מאזינים ליציאות רשת (port) אחרות. בכדי להתקין את IPA, יש להסיר את העותקים הנוספים. הסרה זו יכולה להתבצע על ידי IPA עצמו.
אין כרגע מנגנון להגירת משתמשים קיימים לשרת IPA.
השרת מעדכן את התצורה שלו כך שהוא לקוח של עצמו. אם ה-Directory Server או ה-KDC אינם מופעלים בהצלחה בזמן עליית המערכת, יש לאתחל אותה למצב משתמש יחיד כדי לפתור את הבעיות.
למידע נוסף, גשו לדף התכונות הבא: