Documentation for a newer release is available. View Latest

보안

GRUB2의 EFI 빌드는 이제 몇 가지 보안-지향 모듈을 포함합니다

페도라 31에서 GRUB EFI 제작에는 cryptodisk, luks`와 `verify GRUB 모듈이 포함되어 있습니다. 보다 자세한 내용을 위해 배포-전체 변경 부분을 참고하세요.

기존 시스템-전반의 암호화 정책은 사용자 정의로 할 수 있습니다

crypto-policies 꾸러미는 향상되었고 사용자를 활성화된 알고리즘 과 통신규약을 제거하거나 추가하여 기존의 시스템-전체 암호화 정책 수준을 수정 할 수 있습니다.

예를 들면, 이는 현재 기존의 'DEFAULT' 정책을 쉽게 수정 할 수 있으며 'SHA1' 지원을 비활성화하거나 암호화 라이브러리에서 지원하지만 정책에서 비활성화된 국가 암호화 알고리즘을 위한 지원을 활성화 할 수 있습니다.

위에서-언급된 결과를 얻으려면, 간단한 구성 파일을 추가하고 update-crypto-policies 명령을 실행하세요.

SSH는 더 이상 root 비밀번호 로그인을 허용하지 않습니다

OpenSSH 서버는 더 이상 root 사용자가 비밀번호를 사용하여 원격으로 페도라에 로그인하는 것을 허용하지 않습니다. 이와 같은 변경은 7.0 출시에서 원격 root 비밀번호 로그인을 비활성화 하는 업스트림 OpenSSH 프로젝트와 일치합니다. 이전에는, 원격 'root' 비밀번호 로그인은 일반적인 공격 대상이었습니다.

root 사용자는 아직 공용 SSH 키를 사용하여 원격 로그인을 할 수 있습니다.

/etc/ssh/sshd_config 구성 파일은 이제 PermitRootLogin 옵션을 비활성화합니다. 만약 당신이 구성 파일을 변경한 시스템에서 페도라 31로 향상하면, 향상된 프로세스는 자신의 구성을 유지하고 `/etc/ssh/sshd_config.rpmnew`에 새로운 구성을 생성합니다.

킥스타트 또는 cloud-init 스크립트에서 원격 root 비밀번호 로그인을 사용하는 경우에, 페도라는 다음 대안을 권장합니다:

  • 공용 키 인증으로 전환.

  • 다른 관리자용 사용자를 생성합니다.

root 비밀번호 로그인으로 다시-활성화 할 수 있습니다:

  • 페도라 설치자(아나콘다)에서, `root`를 위한 비밀번호 설정 할 때에 passwd_option을 갖는 root SSH 로그인을 _Allow를 할 수 있습니다.

  • 이미 설치된 시스템에서, `/etc/ssh/sshd_config`에서 `PermitRootLogin=yes`선택을 설정합니다.

커버로스(Kerberos) 암호화 현대화

커버러스(krb5)는 몇 가지 알려진-잘못된 암호화 유형에 대한 지원을 제거합니다. 사용자에게 변경 부분이 표시되지 않기를 바라지만, 변경 사항이 없는지 확인하기 위해, krb5-1.16.1-25.fc28/krb5-1.16.1-25.fc29/`krb5-1.17-3.fc30`에서 더 이상 사용 중단 경고를 기록하기 시작했습니다. 더 이상 사용하지 않는 암호화 유형에서 향상하는 더 많은 정보를 위해, MIT의 DES 사용 중단 가이드를 참고하세요.