Seguretat

Amb aquesta actualització, la política predeterminada de Fedora pel que fa als components criptogràfics s’ha actualitzat per no permetre l’ús d’algorismes que ja no es consideren segurs. Concretament, els canvis impliquen:

Amb aquesta actualització, la biblioteca libcurl passa d’utilitzar libssh2 per implementar la capa SSH dels protocols SCP i SFTP a libssh. El motiu del canvi és que la biblioteca libssh2 utilitza algorismes criptogràfics obsolets i no té característiques importants, com ara l’autenticació GSS-API. La biblioteca libssh utilitzada recentment és més segura, completa i amb una comunitat upstream més activa.

A Fedora 28, el format de fitxer predeterminat utilitzat per la biblioteca NSS es canvia a SQL.

La biblioteca Network Security Services (NSS), que és utilitzada per Mozilla Firefox, Gnome Evolution, Mozilla Thunderbird i altres aplicacions, ha canviat el seu format de base de dades predeterminat per emmagatzemar claus, certificats i informació de confiança. El nou format de base de dades es basa en SQlite i utilitza els noms de fitxer cert9.db, key4.db i pkcs11.txt. El format de base de dades anterior utilitzava Berkeyley DB (DBM) i els noms de fitxer cert8.db, key3.db i secmod.db.

El principal benefici de l’emmagatzematge SQlite és el suport per a l’accés concurrent per part de múltiples aplicacions. Quan s’utilitzava el format de fitxer predeterminat anterior basat en DBM, l’accés concurrent accidental podia provocar un emmagatzematge corrupte.

A menys que una aplicació sol·liciti explícitament el format DBM o SQL, la biblioteca NSS migrarà automàticament la base de dades NSS de l’aplicació del format antic al nou. Els fitxers de base de dades antics no s’actualitzaran més. La majoria dels usuaris no haurien d’experimentar diferències en el funcionament. Les aplicacions que realitzen moltes operacions de lectura/escriptura NSS poden experimentar una petita disminució del rendiment. Utilitzeu la següent ordre per activar una migració explícita:

Es recomana als usuaris que emmagatzemen el seu directori d’inici del sistema o de dades d’aplicació en un sistema de fitxers de xarxa que estableixin la variable d’entorn NSS_SDB_USE_CACHE=yes abans d’iniciar aplicacions que utilitzen NSS. Sense establir aquesta variable d’entorn, els usuaris de sistemes de fitxers de xarxa poden experimentar una desacceleració important amb algunes aplicacions, com ara Firefox. La variable d’entorn habilita l’ús d’una estratègia de memòria cau a NSS que soluciona la lentitud dels sistemes de fitxers de xarxa. Perquè aquesta estratègia de memòria cau provoca una disminució del rendiment en sistemes de fitxers ràpids.

Es poden trobar detalls tècnics addicionals a la Wiki de Fedora: https://fedoraproject.org/wiki/Changes/NSSDefaultFileFormatSql.

Fedora 28 elimina el suport per a tcp_wrappers (també conegut com a fitxers d’accés /etc/hosts.deny) per defecte de tots els dimonis i eines de xarxa. Els substituts preferits són firewalld de programari, regles nftables o regles d’accés específiques de programari per a un filtratge més complex. Si la seguretat del vostre sistema depèn de les regles tcp_wrappers, convertiu-les en regles de tallafoc o configureu tcpd perquè faci la mateixa feina per vosaltres.

Amb aquesta actualització, la distribució OpenLDAP a Fedora ha canviat d’utilitzar la biblioteca NSS (o MozNSS) a la biblioteca OpenSSL per proporcionar funcions criptogràfiques. El canvi promet un millor suport per part d’OpenLDAP upstream, que havia deixat de mantenir la capa de suport NSS.

Els clients i el servidor OpenLDAP ara utilitzen el magatzem de certificats de tot el sistema per defecte, en lloc de /etc/openldap/certs.

Fedora ha desactivat l’ús de TCP wrappers. El projecte OpenLDAP també desaconsella el seu ús i recomana que s’utilitzi un tallafoc IP en el seu lloc. Amb aquesta actualització, OpenLDAP no es configurarà amb --enable-wrappers i, per tant, qualsevol configuració de TCP wrappers no tindrà cap efecte sobre OpenLDAP. S’han d’utilitzar altres mitjans per protegir el servidor OpenLDAP.

Fedora 28 substitueix authconfig per authselect com a eina predeterminada per generar fitxers de configuració PAM i nsswitch.conf. En instal·lacions noves, authselect, juntament amb una eina de compatibilitat authconfig, s’instal·larà per defecte en lloc d’authconfig. En instal·lacions actualitzades, authconfig es substituirà per authselect i l’eina de compatibilitat, però la configuració generada per authconfig es deixarà intacta. L’eina de compatibilitat authconfig s’eliminarà de Fedora en una futura versió. La pàgina man authselect-migration(7) explica com migrar d’authconfig a authselect.