Linux教程網 >> Linux基礎 >> Linux教程 >> Fedora 9的安全措施

Fedora 9的安全措施

日期：2017/2/28 17:03:38 编辑：Linux教程

1. 安全增強
Fedora 9繼續改進許多主動性安全特征.

2. 支持 SHA-256 和 SHA-512 密碼
Fedora 8 中 glibc 包含了密碼的 SHA256 和 SHA512 散列模式支持。而過去，只有 DES 和 MD5 可用。在Fedora 9中，這些工具已經被更新。已經可以創建基於 SHA-256 和 SHA-512 散列模式的密碼。

要將已安裝的系統切換到 SHA-256 或 SHA-512 方式，使用 authconfig --passalgo=sha256 --update 或 authconfig --passalgo=sha512 --update 命令。或者，運行 authconfig-gtk 圖形工具來配置散列方式。已有的用戶帳號不會受影響，直到他們改變密碼。

SHA-512 在新安裝的系統中默認啟用。其他算法只能在 kickstart 安裝時進行配置，方法是在 kickstart 的 auth 命令中傳遞 --passalgo 或 --enablemd5 選項。如果你的系統不是用 kickstart 安裝的，可以用 authconfig 切換，像上面說的那樣，然後改變 root 的密碼，以及其他用戶的密碼。

libuser , pam , 和 shadow-utils 現在支持新的選項，以支持不同的密碼散列算法。運行 authconfig 會自動配置這些選項，不需要手動修改。

crypt_style選項支持新的設置值。同時，在/tect/libuser.conf中的[defaults]部分，提供了對選項hash_rounds_min和hash_rounds_max的支持。參見libuser.conf(5)的 man 手冊。

pam_unix PAM模塊現在支持新的選項sha256，sha512和rounds。參見pam_unix(8)的 man 手冊。

/etc/login.defs現在支持新的選項ENCRYPT_METHOD，SHA_CRYPT_MIN_ROUNDS和SHA_CRYPT_MAX_ROUNDS。參見login.defs(5)的 man 手冊。相應的選項也被添加到 chpasswd(8) 和 newusers(8) 中。

3. FORTIFY_SOURCE 現在覆蓋了更多的函數。
FORTIFY_SOURCE 保護機制現在覆蓋了以下函數： asprintf，dprintf，vasprintf，vdprintf，obstack_printf 和 obstack_vprintf。這些改進對於使用 glib2 庫的應用程序特別有益，因為這些函數使用了 vasprintf。

4. SELinux 安全增強
提供多種“角色”，從而支持更細致的權限控制。

guest_t 角色不被允許運行 setuid 的二進制程序，不被允許建立網絡連接，甚至使用圖形界面程序。

xguest_t 禁用除了通過網絡浏覽器的 HTTP 網絡存取，同時也禁用了 setuid 二進制程序。

user_t 對於日常辦公用戶來說是最理想的，因為該角色無法通過運行 setuid 程序獲得 root 權限。

staff_t 角色跟 user_t 擁有相同的權力，再加上可以運行 sudo 獲得 root 權限。

unconfined_t 角色可獲得完全的權限，效果上將，跟禁用 SELinux 是一樣的。

另外，由nspluginwrapper 包裹的浏覽器插件，默認運行在一個受限的上下文中。

5. 默認的防火牆行為
在 Fedora 9 中，默認的防火牆行為同過去不同。除了由 Anaconda 打開的 22 號 SSH 端口，所有端口都被禁用。

6. 一般信息
對 Fedora 中各種主動的安全特性的一般介紹，當前狀態，以及安全策略到。

7. SELinux
新的 SELinux 項目頁面包括排錯提示，解釋，以及到文檔和參考內容的鏈接。

8. Free IPA
Free IPA 是一套集中管理的身份，策略和審計系統。

IPA 服務器安裝程序在一個相對干淨的系統上安裝和配置以下服務: