15. Bezpečnosť
![[Tip]](./stylesheet-images/tip.png) |
Najnovšie poznámky k vydaniu na webe |
|---|---|
|
Poznámky k vydaniu mohli byť doplnené. Ich aktuálne vydanie nájdete na |
Táto sekcia zdôrazňuje rôzne bezpečnostné prvky Fedory.
15.1. Vylepšenie zabezpečenia
Fedora neprestáva vylepšovať bezpečnostné funkcie.
Balíček glibc vo Fedore 8 mal podporu pre heslá používajúce SHA256 a SHA512. Predtým boli k dispozícii len DES a MD5. Nástroje na vytvorenie hesiel boli vo Fedore 9 rozšírené. Hašovanie hesiel použitím funkcií SHA-256 a SHA-512 je už teraz podporované.
Prepnúť nainštalovaný systém na používanie SHA-256 alebo SHA-512 môžete príkazom authconfig --passalgo=sha256 --update alebo authconfig --passalgo=sha512 --update. Tiež môžete použiť nástroj authconfig-gtk. Existujúce používateľské účty nebudú ovplyvnené, kým ich heslá nebudú zmenené.
Na novoinštalovaných systémoch je SHA-512 použité predvolene. Iné algoritmy môžu byť nastavené len pre kickstart inštalácie, použitím volieb --passalgo alebo --enablemd5 pre kickstart príkaz auth. Ak nepoužívate kickstart, použite authconfig podľa spomenutého návodu a zmeňte heslo používateľa root a heslá používateľov vytvorených po inštalácií.
Nové voľby na podporu týchto algoritmov sú teraz v libuser, pam a shadow-utils. Nie je potrebné meniť ich ručne, lebo authconfig ich nastavuje automaticky.
V sekcii
[defaults]súboru/etc/libuser.confje možné uvádzať nové hodnoty prepínačacrypt_stylea nové voľbyhash_rounds_minahash_rounds_max. Viac informácií sa nachádza v manuálovej stránkelibuser.conf(5).Podobne PAM modul
pam_unixakceptuje nové voľbysha256,sha512arounds. Viac informácií sa nachádza v manuálovej stránkepam_unix(8).Nové voľby
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSaSHA_CRYPT_MAX_ROUNDSv/etc/login.defssú taktiež podporované. Viac informácií sa nachádza v manuálovej stránkelogin.defs(5). Zodpovedajúce voľby boli pridané dochpasswd(8)anewusers(8).
15.2. Všeobecné informácie
Všeobecný úvod k mnohým proaktívnym bezpečnostným vlastnostiam Fedory, aktuálny stav a politiky sú k dispozícii na http://fedoraproject.org/wiki/Security.
15.3. SELinux
Stránky projektu SELinux poskytujú rady a tipy na riešenia problémov, vysvetlivky a pripomienky k dokumentácii a odkazy. Užitočné odkazy sú:
Nové stránky projektu SELinux: http://fedoraproject.org/wiki/SELinux
Rady pre riešenie problémov: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Často kladené otázky (FAQ): http://docs.fedoraproject.org/selinux-faq/
Výpis SELinux príkazov: http://fedoraproject.org/wiki/SELinux/Commands
Podrobnosti o obmedzených doménach: http://fedoraproject.org/wiki/SELinux/Domains
15.4. Free IPA
Free IPA je centrálne spravovaná inštalácia identít, politík a auditu.
Inštalátor IPA servra predpokladá relatívne čistý systém, inštalovanie a konfiguráciu niekoľkých služieb:
inštancia Fedora Directory Servra
KDC
Apache
ntpd
TurboGears
Sú snahy o možnosť vrátenia prevedených zmien, ale proces nie je zaručený. Podobne aj príkaz ipa-client-install prepisuje nastavenie PAM (/etc/pam.conf) a Kerberos (/etc/krb5.conf).
IPA pri inštalácií nepodporuje iné inštancie Fedora Direcotry Servra na tom istom systéme, ani ak počúvajú na iných portoch. Na inštaláciu IPA musia byť ostatné inštancie odstránené, čo zvládne aj samotná inštalácia IPA.
Momentálne neexistuje mechanizmus na migráciu existujúcich používateľov do servra IPA.
Server sa sám nastaví ako vlastný klient. Ak spustenie Directory Servra alebo KDC po štarte systému zlyhá, na vyriešenie problému je potrebné naštartovať do jednopoužívateľského režimu.
Pre viac informácii navštívte stránku vlastností: