Seguretat
Memòria cau de credencials Kerberos KCM per defecte
Fedora 27 utilitza per defecte un nou tipus de memòria cau de credencials Kerberos anomenat Kerberos Cache Manager (KCM), implementat al servei sssd-kcm, que s’adapta millor als entorns contenidoritzats i també proporciona una millor experiència d’usuari en el cas general. Les característiques clau de KCM inclouen:
-
Les memòries cau de credencials Kerberos són gestionades per un dimoni d’espai d’usuari amb un punt d’entrada de sòcol UNIX. Això significa que els UID i GID dels propietaris de la memòria cau estan subjectes a l’espai de noms UID, la qual cosa és beneficiosa en entorns contenidoritzats.
-
El sòcol UNIX es pot muntar en contenidors sota demanda, permetent així que un o més contenidors comparteixin una única memòria cau de credencials Kerberos.
-
El dimoni KCM té estat. Tot i que a F-27 no s’implementa cap funcionalitat que se’n beneficiï, el dimoni permetrà actualitzacions automàtiques de les credencials Kerberos d’un usuari si cal.
La informació sobre l’ús de KCM es pot trobar a man sssd-kcm i també a man sssd-secrets, perquè KCM utilitza sssd-secrets per a l’emmagatzematge de dades. Hi ha informació addicional a la Pàgina de disseny SSSD per a KCM.
Paquets krb5-appl eliminats
Els paquets krb5-appl-clients i krb5-appl-servers es consideren obsolets i s’han eliminat de Fedora. Aquests paquets proporcionaven clients i servidors telnet, ftp, rcp, rsh i rlogin compatibles amb Kerberos. Els usuaris haurien de passar a eines de seguretat més modernes, com openssh.
El xifratge predeterminat a OpenVPN ha canviat a AES-GCM de 256 bits
Les configuracions d’OpenVPN que utilitzen el fitxer d’unitat openvpn-server@.service més recent ara utilitzen un xifratge més fort per al túnel VPN per defecte. El valor predeterminat es canvia de l’algorisme Blowfish utilitzant claus de 128 bits al nou algorisme AES-GCM amb claus de 256 bits.
Per garantir la compatibilitat amb versions anteriors, aquest nou valor predeterminat també permet als clients que encara utilitzen l’algorisme Blowfish no recomanat connectar-se utilitzant la funció --ncp-ciphers disponible a OpenVPN 2.4.
Per facilitar una ruta de migració fàcil lluny de Blowfish per als clients que no admeten AES-GCM, aquests clients ara poden afegir o canviar l’opció --cipher a la configuració del client a AES-256-CBC o AES-128-CBC sense necessitat de fer cap altre canvi al servidor.
El servidor OpenSSH ara segueix les polítiques criptogràfiques de tot el sistema
Fedora defineix polítiques criptogràfiques de tot el sistema, que són seguides per biblioteques i eines criptogràfiques, inclosos els clients OpenSSH. Això permet als administradors utilitzar diferents nivells de seguretat a tot el sistema. Amb aquesta actualització, el servidor OpenSSH també s’adhereix a aquestes polítiques criptogràfiques de tot el sistema.
Aquesta modificació afegeix variables d’entorn que especifiquen els algorismes habilitats. La informació es passa al dimoni sshd a la línia d’ordres. Per tant, és necessari reiniciar el servei sshd perquè els canvis a la configuració de la política criptogràfica tinguin efecte.
S’ha eliminat el suport SSH-1 d’OpenSSH
El protocol SSH-1 és obsolet i ja no es considera segur. Com a tal, no és compatible amb els binaris de client OpenSSH predeterminats empaquetats per a Fedora. Aquest canvi elimina el suport per al protocol SSH-1 per complet eliminant el subpaquet openssh-clients-ssh1.
libcurl canvia a utilitzar OpenSSL
La biblioteca libcurl ara utilitza OpenSSL per a TLS i criptografia (en lloc de NSS). Els certificats i claus TLS emmagatzemats a la base de dades NSS s’han d’exportar a fitxers perquè libcurl els pugui carregar. Consulteu http://pki.fedoraproject.org/wiki/NSS_Database per obtenir instruccions sobre com treballar amb la base de dades NSS.
Want to help? Learn how to contribute to Fedora Docs ›