Documentation for a newer release is available. View Latest

Seguridad

La pila PARSEC está ahora disponible en Fedora

La Plataforma de Abstracción para Seguridad (PARSEC) es una iniciativa de código abierto que suministra una API común para el acceso seguro a las credenciales almacenadas en el hardware de forma independiente a la plataforma.

PARSEC sirve como una capa de abstracción que mantiene las cargas de trabajo desacopladas de los detalles físicos de la plataforma. Esto habilita flujos de entrega nativos dentro del centro de datos y en el sector de computación exterior.

Después de que los usuarios instalen la pila PARSEC en la edición Fedora Workstation, el demonio PARSEC arrancará automáticamente durante el principio del proceso de arranque. En la edición Fedora IoT, la instalación de la pila y el arranque del demonio se hace por el mismo SO.

Desde la perspectiva hardware, el demonio PARSEC puede utilizar actualmente un chip Trusted Platform Module 2 (TPM2), un dispositivo Hardware Security Module (HSM) o sistemas que tengan habilitada la tecnología Arm TrustZone.

Ajustes de Cifrado Sólidas - Fase 2

Fedora 33 deshabilita:

  • Los Protocolos TLS más antiguos que la versión 1.2, tales como las versiones TLS 1.0 y 1.1 ahora están inhabilitadas por defecto.

  • Las firmas hash SHA en los protocolos TLS, SSH e IKE.

  • El intercambio de clave Diffie Hellman con un tamaño de parámetro menor de los 2.048 bit.

Como un resultado de Fedora 33 no puede comunicarse con sistemas heredados que soportan todas las entidades deshabilitadas las cuales se describen arriba.

Si desea comunicarse con los sistemas heredados, puede:

  • Establecer la directiva de cifrado de todo el sistema en LEGACY, usando el comando siguiente:

    ----     # update-crypto-policies --set LEGACY
* O añadir el fragmento debajo a su archivo de config de ssh (~/.ssh/config)
+
[source,shell]

Host <nomre-servidor>

PubkeyAcceptedKeyTypes ssh-rsa
* Para Dovecot en RHEL/CentOS superior a 7.8 (está corregido en 7.9) se establece en /etc/pki/dovecot/dovecot-openssl.cnf:
+
[source, shell]

[ req ] default_bits = 3072

* El método más seguro es utilizar Elliptic Curve Digital Signature Algorithm (ECDSA) para generar claves ssh nuevas, como los métodos anteriores anulan las directivas nuevas de cifrado de Fedora 33 haciendo su sistema vulnerable.

Want to help? Learn how to contribute to Fedora Docs