Fedora 9的安全措施


1. 安全增强
Fedora 9继续改进许多主动性安全特征.

2. 支持 SHA-256 和 SHA-512 密码
Fedora 8 中 glibc 包含了密码的 SHA256 和 SHA512 散列模式支持。而过去,只有 DES 和 MD5 可用。在Fedora 9中,这些工具已经被更新。已经可以创建基于 SHA-256 和 SHA-512 散列模式的密码。

要将已安装的系统切换到 SHA-256 或 SHA-512 方式,使用 authconfig --passalgo=sha256 --update 或 authconfig --passalgo=sha512 --update 命令。或者,运行 authconfig-gtk 图形工具来配置散列方式。已有的用户帐号不会受影响,直到他们改变密码。

SHA-512 在新安装的系统中默认启用。其他算法只能在 kickstart 安装时进行配置,方法是在 kickstart 的 auth 命令中传递 --passalgo 或 --enablemd5 选项。如果你的系统不是用 kickstart 安装的,可以用 authconfig 切换,像上面说的那样,然后改变 root 的密码,以及其他用户的密码。

libuser , pam , 和 shadow-utils 现在支持新的选项,以支持不同的密码散列算法。运行 authconfig 会自动配置这些选项,不需要手动修改。

crypt_style选项支持新的设置值。同时,在/tect/libuser.conf中的[defaults]部分,提供了对选项hash_rounds_min和hash_rounds_max的支持。参见libuser.conf(5)的 man 手册。

pam_unix PAM模块现在支持新的选项sha256,sha512和rounds。参见pam_unix(8)的 man 手册。

/etc/login.defs现在支持新的选项ENCRYPT_METHOD,SHA_CRYPT_MIN_ROUNDS和SHA_CRYPT_MAX_ROUNDS。参见login.defs(5)的 man 手册。相应的选项也被添加到 chpasswd(8) 和 newusers(8) 中。

3. FORTIFY_SOURCE 现在覆盖了更多的函数。
FORTIFY_SOURCE 保护机制现在覆盖了以下函数: asprintf,dprintf,vasprintf,vdprintf,obstack_printf 和 obstack_vprintf。这些改进对于使用 glib2 库的应用程序特别有益,因为这些函数使用了 vasprintf。

4. SELinux 安全增强
提供多种“角色”,从而支持更细致的权限控制。

guest_t 角色不被允许运行 setuid 的二进制程序,不被允许建立网络连接,甚至使用图形界面程序。

xguest_t 禁用除了通过网络浏览器的 HTTP 网络存取,同时也禁用了 setuid 二进制程序。

user_t 对于日常办公用户来说是最理想的,因为该角色无法通过运行 setuid 程序获得 root 权限。

staff_t 角色跟 user_t 拥有相同的权力,再加上可以运行 sudo 获得 root 权限。

unconfined_t 角色可获得完全的权限,效果上将,跟禁用 SELinux 是一样的。

另外,由nspluginwrapper 包裹的浏览器插件,默认运行在一个受限的上下文中。

5. 默认的防火墙行为
在 Fedora 9 中,默认的防火墙行为同过去不同。除了 由 Anaconda 打开的 22 号 SSH 端口,所有端口都被禁用。

6. 一般信息
对 Fedora 中各种主动的安全特性的一般介绍,当前状态,以及安全策略到。

7. SELinux
新的 SELinux 项目页面包括排错提示,解释,以及到文档和参考内容的链接。

8. Free IPA
Free IPA 是一套集中管理的身份,策略和审计系统。

IPA 服务器安装程序在一个相对干净的系统上安装和配置以下服务:

Fedora 目录服务器

KDC Kerbose 数据中心服务器

Apache Web 服务器

ntpd 网络时钟服务器

TurboGears 应用程序

虽然我们尽力提供对策略回滚的支持,但是仍然无法确保其可靠性。另外,ipa-client-install工具会覆盖老的 PAM (/etc/pam.conf) 和 Kerberos (/etc/krb5.conf)的配置。

IPA 不支持在安装时在同一个物理主机上的多个 Fedora 目录服务器,即使它们运行在不同的端口上。为了正常安装 IPA,确保其他 Fedora 目录服务器被删除。IPA 可以自行完成这个操作。

尚没有可行的方案来把现存的用户整合到 IPA 服务器中。

服务器自身也是自己的一个身份认证客户端。如果目录服务器或者 KDC 在启动时失败,必须进入单用户模式来解决问题。

相关内容