15. Bezbednost
![[Savet]](./stylesheet-images/tip.png) |
Najsvežije beleške o izdanju na vebu |
|---|---|
|
Ovaj tekst je podložan izmenama. Za najsvežiju verziju teksta za Fedora, posetite: |
Ovaj odeljak ističe razne bezbednosne stavke na Fedora sistemu
15.1. Bezbednosna unapređenja
Fedora nastavlja da unapređuje mnoge proaktivne bezbednosne mogućnosti.
Paket glibc u Fedora 8 imao je podršku za lozinke koristeći SHA256 i SHA512 heširanje. Ranije su bili dostupni samo DES i MD5. Ovaj je alat u Fedora 9 unapređen. Heširanje lozinki korišćenjem funkcija SHA-256 i SHA-512 sada je podržano.
Radi prebacivanja na SHA-256 ili SHA-512 na instaliranom sistemu, koristite authconfig --passalgo=sha256 --update ili authconfig --passalgo=sha512 --update. Za podešavanje metoda heširanja možete koristiti još i grafičku alatku authconfig-gtk. Ovim postupkom postojeći nalozi neće biti obuhvaćeni dok im se ne izmene lozinke.
Na sveže instaliranim sistemima podrazumevano se koristi SHA-512. Drugi algoritmi mogu se podesiti samo za instalacije kickstart, korišćenjem opcija --passalgo ili --enablemd5 za kickstart naredbu auth. Ukoliko Vaša instalacija ne koristi kickstart, upotrebite authconfig kao što je gore opisano, pa promenite lozinku root korisnika i ostalih korisnika koji su načinjeni nakon instalacije.
Nove se opcije sada nalaze u libuser , pam i shadow-utils, radi podrške heširanju algoritama lozinki. Pokretanjem authconfig sve ove opcije se podešavaju automatski, tako da nije potrebno njihovo ručno menjanje.
Nove vrednosti za opciju
crypt_style, i nove opcijehash_rounds_minihash_rounds_max, sada su podržane u[defaults]odeljku/etc/libuser.conf. Za detalje pogledajte stranicu uputstvalibuser.conf(5).Nove opcije,
sha256,sha512irounds, PAM modulpam_unixsada podržava. eare now supported by the PAM module. Za detalje pogledajte stranicu uputstvapam_unix(8).Nove opcije,
ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDSiSHA_CRYPT_MAX_ROUNDS, sada su podržane u/etc/login.defs. Za detalje pogledajte stranicu uputstvalogin.defs(5). Odgovarajuće opcije su dodate uchpasswd(8)inewusers(8).
15.2. Opšte informacije
Opšti uvod u mnoga proaktivna bezbednosna svojstva Fedora sistema, trenutno stanje i polise je dostupan na http://fedoraproject.org/wiki/Security.
15.3. SELinux
Stranice SELinux projekta sadrže savete za rešavanje problema, objašnjenja i putokaze do dokumentacije i referenci. Slede neke od korisnih veza:
Nove stranice SELinux projekta: http://fedoraproject.org/wiki/SELinux
Saveti za rešavanje problema: http://fedoraproject.org/wiki/SELinux/Troubleshooting
Česta pitanja: http://docs.fedoraproject.org/selinux-faq/
Spisak SELinux naredbi: http://fedoraproject.org/wiki/SELinux/Commands
Detalji o ograničenim domenima: http://fedoraproject.org/wiki/SELinux/Domains
15.4. Slobodan IPA
Slobodan IPA je centralno upravljana instalacija identiteta, politike i kontrole.
Instalater IPA servera pretpostavlja relativno čist sistem, na kome instalira i podešava nekoliko servisa:
instanca Fedora Directory Server
KDC
Apache
ntpd
TurboGears
Učinjen je napor u omogućavanju opovrgavanja načinjenih izmena, međutim to nije garantovano. Na sličan način alatka ipa-client-install prepisuje PAM podešavanja (/etc/pam.conf) i Kerberos (/etc/krb5.conf).
IPA ne podržava prilikom instalacije druge instance Fedora Directory Server na istoj mašini, čak ni slušanje na različitim portovima. Radi instalacije IPA, ostale instance moraju biti uklonjene. Sam IPA može obaviti ovo uklanjanje.
Ne postoji trenutno mehanizam za prebacivanje postojećih korisnika na IPA server.
Server se sam podešava da bude klijent. Ukoliko Directory Server ili KDC ne uspeju da se pokrenu pri podizanju sistema, podignite ga u režimu jednog korisnika kako bi rešili problem.
Za više informacija, pogledajte sledeću stranicu: