Seguretat
La compilació EFI de GRUB2 ara conté diversos mòduls orientats a la seguretat
La compilació GRUB EFI a Fedora 31 conté els mòduls GRUB cryptodisk, luks i verify. Per obtenir més detalls, consulteu la secció Canvis a tota la distribució.
Les polítiques de xifratge de tot el sistema existents ara es poden personalitzar
El paquet crypto-policies s’ha millorat i permet als usuaris modificar els nivells de política de xifratge de tot el sistema existents eliminant o afegint algorismes i protocols habilitats.
Per exemple, ara és possible modificar fàcilment la política DEFAULT existent per desactivar el suport SHA1 o habilitar el suport per a un algorisme de xifratge nacional que sigui compatible amb les biblioteques de xifratge però estigui desactivat a les polítiques.
Per aconseguir el resultat esmentat anteriorment, afegiu un fitxer de configuració senzill i executeu l’ordre update-crypto-policies.
SSH ja no permet l’inici de sessió de root amb contrasenya
El servidor OpenSSH ja no permet que l’usuari root iniciï sessió remotament a Fedora utilitzant una contrasenya. Aquest canvi és coherent amb el projecte upstream OpenSSH, que va desactivar l’inici de sessió remot de root amb contrasenya a la versió 7.0. Anteriorment, l’inici de sessió remot de root amb contrasenya era un objectiu habitual d’atacs.
L’usuari root encara pot iniciar sessió remotament utilitzant una clau pública SSH.
El fitxer de configuració /etc/ssh/sshd_config ara desactiva l’opció PermitRootLogin. Si actualitzeu a Fedora 31 en un sistema on heu fet canvis al fitxer de configuració, el procés d’actualització conserva la vostra configuració i crea la nova configuració a /etc/ssh/sshd_config.rpmnew.
Si utilitzeu l’inici de sessió remot de root amb contrasenya a scripts Kickstart o cloud-init, Fedora recomana les següents alternatives:
-
Canvieu a l’autenticació de clau pública.
-
Creeu un usuari administratiu diferent.
Podeu tornar a habilitar l’inici de sessió de root amb contrasenya:
-
A l’instal·lador de Fedora (Anaconda), activeu l’opció Permet l’inici de sessió SSH de root amb contrasenya quan configureu una contrasenya per a
root. -
En un sistema ja instal·lat, establiu l’opció
PermitRootLogin=yesa/etc/ssh/sshd_config.
Modernització de la criptografia Kerberos
Kerberos (krb5) elimina el suport per a diversos tipus d’encriptació coneguts com a dolents. S’espera que els usuaris no vegin cap canvi, però per estar segurs, vam començar a registrar avisos de desaprovació a krb5-1.16.1-25.fc28/krb5-1.16.1-25.fc29/krb5-1.17-3.fc30. Per obtenir més informació sobre l’actualització de tipus d’encriptació desaprovats, consulteu la guia de desaprovació DES del MIT.
Want to help? Learn how to contribute to Fedora Docs ›