Documentation for a newer release is available. View Latest

Seguridad

La pila PARSEC está ahora disponible en Fedora

La Plataforma de Abstracción para Seguridad (PARSEC) es una iniciativa de código abierto que suministra una API común para el acceso seguro a las credenciales almacenadas en el hardware de forma independiente a la plataforma.

PARSEC sirve como una capa de abstracción que mantiene las cargas de trabajo desacopladas de los detalles físicos de la plataforma. Esto habilita flujos de entrega nativos dentro del centro de datos y en el sector de computación exterior.

Después de que los usuarios instalen la pila PARSEC en la edición Fedora Workstation, el demonio PARSEC arrancará automáticamente durante el principio del proceso de arranque. En la edición Fedora IoT, la instalación de la pila y el arranque del demonio se hace por el mismo SO.

From a hardware perspective, the PARSEC daemon can currently use a Trusted Platform Module 2 (TPM2) chip, Hardware Security Module (HSM) device, or systems that have an Arm TrustZone technology enabled.

Ajustes de Cifrado Sólidas - Fase 2

Fedora 33 disables:

  • TLS Protocols versions older than 1.2 version, so TLS versions 1.0 and 1.1 are now disabled by default.

  • SHA hash signatures in TLS, SSH and IKE protocols.

  • Diffie Hellman key exchange with parameter size less that 2048 bits.

As a result Fedora 33 cannot communicate with legacy systems that support all the disabled entities which are outlined above.

If you want to communicate with legacy systems, you may:

  • Set the system wide crypto policy to LEGACY, by using the command below:

    ----     # update-crypto-policies --set LEGACY
* Or add the snippet below to your ssh config file (~/.ssh/config)
+
[source,shell]

Host <server-name>

PubkeyAcceptedKeyTypes ssh-rsa
* For Dovecot in RHEL/CentOS up to 7.8 (it is fixed in 7.9) set in /etc/pki/dovecot/dovecot-openssl.cnf:
+
[source, shell]

[ req ] default_bits = 3072

* The most secure method is to use Elliptic Curve Digital Signature Algorithm (ECDSA) to generate new ssh keys, as the methods above override Fedora 33 new crypto polices rendering your system vulnerable.

Want to help? Learn how to contribute to Fedora Docs