Documentation for a newer release is available. View Latest

Seguridad

EFI compilado en GRUB2 ahora contiene varios módulos orientados a seguridad

La compilación GRUB EFI de Fedora 31 contiene los módulos GRUB cryptodisk, luks y verify. Para más detalles, consulte la sección Cambios en toda la distribución.

Las normativas de cifrado existentes en todo el sistema ahora se pueden personalizar

El paquete crypto-policies se ha mejorado y permite a los usuarios modificar los niveles de normativas criptográficas existentes en todo el sistema eliminando o agregando algoritmos y protocolos habilitados.

Por ejemplo, ahora es posible modificar fácilmente la normativa DEFAULT existente para deshabilitar el soporte SHA1 o habilitar el soporte para un algoritmo criptográfico nacional que es compatible con las bibliotecas criptográficas pero que está deshabilitado en las normativas.

Para lograr el resultado mencionado anteriormente, agregue un archivo de configuración simple y ejecute la instrucción update-crypto-policies.

SSH ya no permite el inicio de sesión con contraseña root

El servidor OpenSSH ya no permite que el usuario root inicie sesión remotamente en Fedora utilizando una contraseña. Este cambio coincide con el proyecto original OpenSSH, que desactivó el inicio de sesión remoto con la contraseña de root en la versión 7.0. Anteriormente, este tipo de inicio de sesión remoto era un objetivo común de ataques.

El usuario root aún puede acceder remotamente al utilizar una clave SSH pública.

El archivo de configuración /etc/ssh/sshd_config ahora deshabilita la opción PermitRootLogin. Si actualiza a Fedora 31 en un sistema donde realizó cambios en el archivo de configuración, el proceso de actualización conserva su configuración y crea la nueva en /etc/ssh/sshd_config.rpmnew.

Si utiliza el inicio de sesión con contraseña remota root en los script Kickstart o cloud-init, Fedora recomienda las siguientes alternativas:

  • Cambiar a la autenticación de clave pública.

  • Crea un diferente usuario administrativo.

Puede volver a habilitar el inicio de sesión con contraseña root:

  • En el instalador de Fedora (Anaconda), habilite la opción Permitir acceso root SSH con contraseña cuando establezca una contraseña para root.

  • En un sistema ya instalado, ponga la opción PermitRootLogin=yes en /etc/ssh/sshd_config.

Modernización criptográfica de Kerberos

Kerberos (krb5) elimina la compatibilidad con varios tipos de cifrado conocidos como defectuosos. Esperamos que los usuarios no vean cambios, pero para asegurarnos de que no los vean, hemos empezado a registrar advertencias de obsolescencia en krb5-1.16.1-25.fc28/krb5-1.16.1-25.fc29/krb5-1.17-3.fc30. Para obtener más información sobre la actualización de tipos de cifrado obsoletos, consulte el Guía de obsolescencia de DES del MIT.

Want to help? Learn how to contribute to Fedora Docs