Documentation for a newer release is available. View Latest

보안

최신화된 암호화 설정

이 최신화를 통해, 암호화 구성 요소에 대한 기본 페도라 정책은 더 이상 안전하지 않은 알고리즘의 사용을 허용하지 않도록 최신화되었습니다. 특별히, 변경 사항은 다음을 포함합니다:

  • 2048 비트 또는 그 이상의 RSA가 필요합니다

  • DSA 비활성화

Libcurl은 libssh2에서 libssh로 전환됩니다

이와 같은 최신화로, libcurl 라이브러리는 libssh2*를 사용하여 SCP 및 SFTP 통신규약의 SSH 계층을 *libssh*로 구현하도록 전환됩니다. 변경 원인은 *libssh2 라이브러리가 오래된 암호화 알고리즘을 사용하고 GSS-API 인증과 같은 중요한 기능이 부족하기 때문입니다. 새롭게 사용된 libssh 라이브러리는 보다 안전하고, 기능이 완벽하며, 그리고 보다 활발한 업스트림 커뮤니티가 있습니다.

NSS는 기본 파일 형식으로 SQL을 사용합니다

페도라 28에서, NSS 라이브러리에 의해 사용되는 기본 파일 형식은 SQL로 변경됩니다.

네트워크 보안 서비스(NSS) 라이브러리, 이는 모질라 파이어폭스, 그놈 에볼류션, 모질라 썬더버드, 그리고 다른 응용프로그램에서 사용되며, 키, 인증서와 신뢰 정보를 저장하기 위한 기본 데이터베이스 형식을 변경했습니다. 신규 데이터베이스 형식은 SQlite에서 기반 되었고 파일이름 cert9.db, key4.db`와 `pkcs11.txt`를 사용합니다. 이전 데이터베이스 형식은 버클리 DB(DBM)와 파일 이름 `cert8.db, key3.db, `secmod.db`를 사용했습니다.

SQlite 저장소의 기본 장점은 다양한 응용프로그램에 의해 동시 접근을 지원합니다. DBM에서 지원되는 이전 기본 파일 형식을 사용 할 때에, 우발적인 동시 접근은 손상된 저장소를 유발 할 수 있습니다.

응용프로그램이 명시적으로 DBM 또는 SQL 형식 중에 하나를 요청하지 않으면, NSS 라이브러리는 자동으로 응용프로그램의 NSS 데이타베이스를 오래된 것에서 신규 형식으로 이전합니다. 오래된 데이타베이스 파일은 보다 최신화되지 않습니다. 대부분의 사용자는 동작에서 다른 경험을 하지 않아야 합니다. 많은 NSS 읽기/쓰기 동작을 수행하는 응용프로그램은 성능이 다소 감소되는 경험을 할 수 있습니다. 다음 명령을 사용하여 명시적인 이전을 수행합니다:

certutil -d sql:</path/to/database> -N -f </path/to/database/password/file> \
                                       -@ </path/to/database/password/file>

네트워크 파일시스템에서 이들 시스템 홈이나 응용프로그램 자료 디렉토리를 저장하는 사용자는 NSS를 사용하는 응용프로그램을 시작하기 전에 NSS_SDB_USE_CACHE=yes 환경 변수를 설정하도록 추천됩니다. 이와 같은 환경 설정 없이, 네트워크 파일시스템의 사용자는 파이어폭스와 같은 일부 응용프로그램와 같은 주요 프로그램의 속도 저하를 경험 할 수 있습니다. 환경 변수는 네트워크 파일 시스템의 속도 저하를 해결하는 NSS에서 캐슁 전략의 사용을 활성화 할 수 있습니다. 이와 같은 캐슁 전략은 빠른 파일시스템에서 성능이 저하되기 때문입니다.

추가적인 기술 상세화는 페도라 위키에서 찾을 수 있습니다: Changes/NSSDefaultFileFormatSql.

TCP wrappers는 더 이상 사용하지 않습니다

모든 네트워크 데몬 및 도구에서 기본 값에 의해 tcp_wrappers (해당 /etc/hosts.deny 접근 파일)을 위한 페도라 28 지원 제거. 선호하는 교체는 더 복잡한 필터링을 위해 소프트웨어 firewalld, nftables 규칙 또는 소프트웨어 지정 접근입니다. 만약 당신의 시스템 보안은 tcp_wrapper 규칙에 의존하면, firewalld 규 칙으로 변환하거나, 동일한 작업을 수행하도록 `tcpd`를 설정하세요.

OpenLDAP는 NSS에서 OpenSSL로 전환됩니다

이와 같은 최신화를 통해, 페도라의 OpenLDAP 배포판은 NSS (또는 MozNSS) 라이브러리 사용에서 암호화 기능을 제공하기 위해 OpenSSL 라이브러리로 사용이 변경되었습니다. 스위치는 NSS 지원 계층을 유지하는 것이 중단된 OpenLDAP 업스트림에서 더 나은 지원을 약속합니다.

OpenLDAP는 공유된 시스템 인증서만 사용하도록 설정됩니다

OpenLDAP 클라언트와 서버는 이제 /etc/openldap/certs 대신에 기본적으로 시스템-전반의 인증서 저장소를 사용합니다.

OpenLDAP는 TCP wrappers 지원을 중단합니다

페도라는 TCP wrappers 사용 중지합니다. OpenLDAP 프로젝트는 또한 사용을 권장하지 않음과 대신에 IP 방화벽 사용하기를 권장합니다. 이와 같은 최신화와 함게, OpenLDAP는 `--enable-wrappers`와 함께 구성되지 않고 또한 모든 TCP wrapper 구성이 OpenLDAP에 영향을 주지 않습니다. 다른 수단으로 OpenLDAP 서버를 보호하는 데 사용됩니다.

authconfig를 authselect로 교체합니다

페도라 28은 생성된 PAM 구성 파일 및 nsswitch.conf를 위한 기본 도구로 authselect와 함계 authconfig를 교체합니다. 신규 설치에서, authconfig 호환성 도구와 함께 authselect는 authconfig 대신에 기본으로 설치됩니다. 향상된 설치에서, authconfig는 authconfig 및 호환성 도구와 함께 교체되지만 authconfig에 의해 생성된 구성은 여전히 남게됩니다. authconfig 호환성 도구는향후 출시에서 페도라에서 제거됩니다. authselect-이전(7) 설명서 부분은 authconfig에서authselect로 이전하는 방법을 설명합니다.