include("site.inc"); $template = new Page; $template->initCommon(); $template->displayHeader(); ?>
Ultime note di rilascio sul Web | |
---|---|
Queste note di rilascio potrebbero essere non aggiornate. Per vedere le ultime note di rilascio per Fedora, visitare: |
Questa sezione evidenzia vari aspetti di sicurezza di Fedora.
Fedora continua a migliorare le sue molteplici caratteristiche di sicurezza.
Il pacchetto glibc in Fedora 8 disponeva del supporto per le password con hashing SHA256 e SHA512, mentre in precedenza erano disponibili solo DES e MD5. Questi strumenti sono stati estesi in Fedora 9: l'hashing delle password con le funzioni hash SHA-256 e SHA-512 è ora supportato.
Per passare all'hashing delle password con funzioni SHA-256 o SHA-512 su un sistema installato, usare il comando authconfig --passalgo=sha256 --update
o authconfig --passalgo=sha512 --update
. In alternativa, per configurare il metodo di hashing è possibile utilizzare lo strumento GUI authconfig-gtk
. Gli account esistenti non subiranno alcun effetto fino alla successiva modifica della password.
SHA-512 è utilizzato come impostazione predefinita nelle nuove installazioni. Altri algoritmi possono essere configurati solo per le installazioni kickstart, usando le opzioni --passalgo
o --enablemd5
per il comando kickstart auth
. Se l'installazione non usa kickstart, usare authconfig
come descritto sopra, quindi cambiare la password dell'utente root e le password degli altri utenti creati dopo l'installazione.
Nuove opzioni sono ora disponibili in libuser, pam, e shadow-utils per supportare questi algoritmi di hashing delle password. Eseguendo authconfig
queste opzioni verranno configurate automaticamente, perciò non è necessario modificarle manualmente.
Nuovi valori per l'opzione crypt_style
, e le nuove opzioni hash_rounds_min
e hash_rounds_max
, sono ora supportate nella sezione [defaults]
di /etc/libuser.conf
. Fare riferimento alla pagina man di libuser.conf(5)
per ulteriori dettagli.
Nuove opzioni, sha256
, sha512
e rounds
, sono ora supportate dal modulo PAM pam_unix
. Fare riferimento alla pagina man pam_unix(8)
per i dettagli.
Nuove opzioni, ENCRYPT_METHOD
, SHA_CRYPT_MIN_ROUNDS
e SHA_CRYPT_MAX_ROUNDS
, sono ora supportate in /etc/login.defs
. Fare riferimento alla pagina man login.defs(5)
per i dettagli. Opzioni corrispondenti sono state aggiunte a chpasswd(8)
e newusers(8)
.
Una introduzione generale alle molteplici caratteristiche di sicurezza in Fedora, lo status corrente e le policies, sono disponibili su http://fedoraproject.org/wiki/Security.
Le pagine del progetto SELinux contengono suggerimenti per la risoluzione dei problemi, spiegazioni, e puntatori a documentazione e riferimenti. Alcuni link utili:
Le nuove pagine del progetto SELinux: http://fedoraproject.org/wiki/SELinux
Suggerimenti per la risoluzione dei problemi: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Frequently Asked Questions: http://docs.fedoraproject.org/selinux-faq/
Elenco dei comandi SELinux: http://fedoraproject.org/wiki/SELinux/Commands
Dettagli sui domini confinati: http://fedoraproject.org/wiki/SELinux/Domains
Free IPA è un'installazione amministrata centralmente di identità, policy, ed audit.
Il programma di installazione del server IPA assume la presenza di un sistema relativamente pulito, per installare e configurare diversi servizi:
una istanza di Fedora Directory Server
KDC
Apache
ntpd
TurboGears
Diversi sforzi sono stati fatti per consentire di tornare alle impostazioni precedenti, ma non è possibile garantirne il successo. In modo similare lo strumento ipa-client-install
sovrascrive le configurazioni PAM (/etc/pam.conf
) e Kerberos (/etc/krb5.conf
).
IPA non supporta altre istanze di Fedora Directory Server sulla stessa macchina durante l'installazione, anche se sono in funzione su altre porte. Per poter installare IPA, le altre istanze devono essere rimosse e IPA stesso ne può gestire la rimozione.
Non c'è attualmente alcun meccanismo di migrazione degli utenti esistenti in un IPA server.
Il server si auto configura per essere un client di se stesso. Se l'avvio di Directory Server o KDC fallisce in fase di boot, si dovrà avviare il sistema in single-user mode per poter risolvere il problema.
Per maggiori informazioni, fare riferimento alla seguente pagina web: