15. Безбедност
![[Савет]](./stylesheet-images/tip.png) |
Најсвежије белешке о издању на вебу |
|---|---|
|
Овај текст је подложан изменама. За најсвежију верзију текста за Fedora, посетите: |
Овај одељак истиче разне безбедносне ставке на Fedora систему
15.1. Безбедносна унапређења
Fedora наставља да унапређује многе проактивне безбедносне могућности.
Пакет glibc у Fedora 8 имао је подршку за лозинке користећи SHA256 и SHA512 хеширање. Раније су били доступни само DES и MD5. Овај је алат у Fedora 9 унапређен. Хеширање лозинки коришћењем функција SHA-256 и SHA-512 сада је подржано.
Ради пребацивања на SHA-256 или SHA-512 на инсталираном систему, користите authconfig --passalgo=sha256 --update или authconfig --passalgo=sha512 --update. За подешавање метода хеширања можете користити још и графичку алатку authconfig-gtk. Овим поступком постојећи налози неће бити обухваћени док им се не измене лозинке.
На свеже инсталираним системима подразумевано се користи SHA-512. Други алгоритми могу се подесити само за инсталације kickstart, коришћењем опција --passalgo или --enablemd5 за kickstart наредбу auth. Уколико Ваша инсталација не користи kickstart, употребите authconfig као што је горе описано, па промените лозинку root корисника и осталих корисника који су начињени након инсталације.
Нове се опције сада налазе у libuser , pam и shadow-utils, ради подршке хеширању алгоритама лозинки. Покретањем authconfig све ове опције се подешавају аутоматски, тако да није потребно њихово ручно мењање.
Нове вредности за опцију
crypt_style, и нове опцијеhash_rounds_minиhash_rounds_max, сада су подржане у[defaults]одељку/etc/libuser.conf. За детаље погледајте страницу упутстваlibuser.conf(5).Нове опције,
sha256,sha512иrounds, PAM модулpam_unixсада подржава. еare now supported by the PAM module. За детаље погледајте страницу упутстваpam_unix(8).Нове опције,
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSиSHA_CRYPT_MAX_ROUNDS, сада су подржане у/etc/login.defs. За детаље погледајте страницу упутстваlogin.defs(5). Одговарајуће опције су додате уchpasswd(8)иnewusers(8).
15.2. Опште информације
Општи увод у многа проактивна безбедносна својства Fedora система, тренутно стање и полисе је доступан на http://fedoraproject.org/wiki/Security.
15.3. SELinux
Странице SELinux пројекта садрже савете за решавање проблема, објашњења и путоказе до документације и референци. Следе неке од корисних веза:
Нове странице SELinux пројекта: http://fedoraproject.org/wiki/SELinux
Савети за решавање проблема: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Честа питања: http://docs.fedoraproject.org/selinux-faq/
Списак SELinux наредби: http://fedoraproject.org/wiki/SELinux/Commands
Детаљи о ограниченим доменима: http://fedoraproject.org/wiki/SELinux/Domains
15.4. Слободан IPA
Слободан IPA је централно управљана инсталација идентитета, политике и контроле.
Инсталатер IPA сервера претпоставља релативно чист систем, на коме инсталира и подешава неколико сервиса:
инстанца Fedora Directory Server
KDC
Apache
ntpd
TurboGears
Учињен је напор у омогућавању оповргавања начињених измена, међутим то није гарантовано. На сличан начин алатка ipa-client-install преписује PAM подешавања (/etc/pam.conf) и Kerberos (/etc/krb5.conf).
IPA не подржава приликом инсталације друге инстанце Fedora Directory Server на истој машини, чак ни слушање на различитим портовима. Ради инсталације IPA, остале инстанце морају бити уклоњене. Сам IPA може обавити ово уклањање.
Не постоји тренутно механизам за пребацивање постојећих корисника на IPA сервер.
Сервер се сам подешава да буде клијент. Уколико Directory Server или KDC не успеју да се покрену при подизању система, подигните га у режиму једног корисника како би решили проблем.
За више информација, погледајте следећу страницу: