Documentation for a newer release is available. View Latest

보안

시스템-전반 암호화 정책

네트워크 통신의 보안은 통신량 검사에 대한 첫 번째 방어선을 제공하는 강력한 TLS와 함께 페도라 프로젝트를 위한 우선 과제입니다. TLS 연결을 협상하는 두 가지 시스템은 이들 통신을 암호화하기 위해 공통 암호에 동의해야 하며, 그리고 암호가 더 이상 사용되지 않고, 이를 제외하는 것이 중요합니다.

관리자가 적절하게 안전하다고 생각할 수 있는 암호는 특정 암호에 대해 발표된 취약성에 의해 결정됩니다. 허용되는 암호 제품군은 인터넷에서 모든 통신에 적용되며, 그리고 특정 시스템이나 데몬에 특정하지 않습니다. 관리를 손쉽게 하고 시스템 보안 태세에서 관리자 신뢰를 증진하기 위해, 페도라는 TLS 암호가 한 곳에서만 최신화되도록 시스템-전역 구성을 사용하도록 다양한 소프트웨어를 구성했습니다.

페도라 26와 함께, 두 가지 이상의 것은 넓은-범위의 암호화 정책, `OpenSSH`와 `Java`등에 사용합니다.

OpenSSH 암호화

OpenSSH 클라이언트는 시스템을 선호하는 키 교환 알고리즘, 암호용 암호, 그리고 메시지 인증 코드(MAC) 알고리즘을 사용합니다. 이것은 , `/etc/ssh/ssh_config`의 `Include`지시문을 `/etc/ssh/ssh_config.d/*.conf`에서 포함되도록 활성화 되며, 이는 `/etc/crypto-policies/back- end/openssh.config`로 가져옵니다.

자바 암호

OpenJDK는 `/etc/crypto-policies/back-ends/java.config`에서 생성한 암호화 정책 파일에서 추가적인 보안 특성을 읽기 위해 수정됩니다

이와 같은 변경은 보다 엄격한 암호 정책을 지원하지 않는 기존 시스템에 대한 연결에 영향을 줄 수 있습니다. 시스템 프로파일을 DEFAULT 에서 LEGACY로, 또는 프로젝트 java.security 파일 (https://docs.oracle.com/javase/8/docs/technotes/guides/security/Oplicyfiles.html에 언급된)에서 `security.useSystemPropertiesFile=false로 설정 할 수 있지만, 이는 기존 응용프로그램을 최신 보안 표준으로 향상하는 것이 가장 좋습니다.

OpenSSL 1.1.0

페도라 26에서 OpenSSL 1.1.0의 소개는 큰 개선, 신규 암호화 알고리즘, 그리고 미래 향상에서 ABI 안정성을 유지하기 위해 허용하는 API 변경을 가져옵니다. 이는 이제 아직 1.1.0으로 이동 할 수 없는 의존성 응용프로그램을 위해 OpenSSL 1.0.2를 제공하는 페도라에서 compat-openssl10 꾸러미도 있습니다.

OpenSSL 위키의 OpenSSL 1.1.0에 대하여 더 많은 정보가 있습니다.

OpenSC는 Coolkey로 교체됩니다

페도라 26은 기본값으로 NSS 데이타베이스의 Coolkey PKCS#11모듈이 탑재되어 있지 않습니다. 대신에, 더욱 다양한 스마트 카드를 지원하는 OpenSC PKCS#11 모듈이 있습니다. Coolkey 꾸러미는 페도라 27에서 제거됩니다. 만약 다른 응용 프로그램이 Coolkey를 사용하고 있었다면, 이는 OpenSC로 전환 할 수 있어야 합니다.

당신이 여전히 NSS DB의 Coolkey가 필요한 경우에, 당신은 modutil -dbdir /etc/pki/nssdb -add "CoolKey PKCS #11 Module (manual)" -libfile libcoolkeypk11.so -force (다른 이름은Coolkey 꾸러미를 최신화 할 때에 자동으로 제거하는 것을 방지하기 위해 사용됩니다)를 사용하여 이를 수동으로 추가 할 수 있습니다.

곧(F26 주기 동안) 이는 Coolkey를 완전한 대체로 제공되는 모든 시험된 기능과 카드를 갖는 완전한-기능화된 OpenSC 0.17.0 최신화가 됩니다.

로컬 사용자를 위한 SSSD 빠른 캐쉬

SSSD는 지난 페도라 출시에서 매우 빠른 메모리 캐쉬를 탑재했습니다. 아무튼, 이와 같은 캐쉬는 nscd 캐슁과 충돌하고 nscd는 이제 기본으로 비활성화 되었습니다. 그 것은 모든 사용자와 그룹 조회는 로컬 파일을 열어야 하기 때문에 성능이 저하됩니다.

페도라 26에서, 신규 SSSD "files" 공급자는 로컬 파일에서 사용자를 해결합니다.그와 같은 방식에서, "sss" NSS 모듈은 nsswitch.conf의 파일 모듈보다 먼저 구성될 수 있고 시스템은 로컬 및 원격 사용자 모두를 위해 sss_nss 캐싱을 활용 할 수 있습니다. 결과적으로, 페도라의 사용자 및 그룹 확인은 보다 빨라집니다.

Authconfig 깔끔정리

더 이상 사용되지 않고 유지 할 수 없는 코드는 [command]`authconfig`에서 제거되었습니다. 다음과 같이 주목:

  • 그래픽 연결장치 (system-config-authentication)와 대화형 텍스트 방법, 오래되고 유지 할 수 없는 라이브러리(GTK+2 와 글래이드(Glade))에 의존 하는 것은 배포판에서 제거되었습니다.

  • 명령 줄 도구, 이는 이전에 더 이상 사용하지 않으며, 기존 원인을 위해 배포판 일부로 지속됩니다. 아무튼, WINS 및 `HESIOD`를 위한 지원과 같은 더 이상 사용하지 않고 쓸모없는 기능은 이 출시에서 제거되었습니다.

제거 노력은 현재 최신 환경에서는 Realmd 및’SSSD`를 사용하여 원격 사용자 신원의 자동 구성을 지원하고 [package]*system-config-authentication*과 같은 대화형 연결장치를 통한 수동 구성이 필요하지 않기 때문에 발생합니다. 기존 authconfig 명령 줄 기능 중 일부는 여전히 특정 환경에서 일부 유용성을 유지하고, 킥스타트에서 auth 명령을 지원하기 위해 보존됩니다. 더 이상 유지 관리 할 수 없는 코드 기반 부분을 제거하면 이와 같은 기능을 계속 제공하기가 더 쉬워집니다.