Seguridad
Caché de credenciales Kerberos KCM de forma predeterminada
Fedora 27 predetermina a un nuevo tipo de caché de credencial Kerberos llamado Kerberos Cache Manager (KCM), implementado en el servicio sssd-kcm, que se adapta mejor a los entornos de contenedores y también proporciona una mejor experiencia al usuario en casos generales. Las características clave de KCM son:
-
Los cachés de credencial Kerberos son manejados por un demonio en el espacio de usuario con un socket UNIX como punto de entrada. Estos significa que los UIDs y GIDs de los propietarios de la caché están sujetos al espacio de nombres UID, que es beneficioso en entornos de contenedores.
-
El socket UNIX se puede montar en los contenedores bajo demanda, de este modo se permite que uno o más contenedores compartan un único caché de credencial Kerberos.
-
El demonio KCM tiene estado. Si bien no se implementa ninguna funcionalidad que se beneficie de eso en F-27, el demonio permitirá la actualización automática de las credenciales Kerberos de un usuario si es necesario.
La información sobre la utilización de KCM se puede encontrar en man sssd-kcm
y también en man sssd-secrets
, porque KCM usa sssd-secrets para el almacenamiento de datos. Se contiene información adicional en la Página de Diseño SSSD para KCM.
Paquetes Quitados en krb5-appl
Los paquetes krb5-appl-clients
y krb5-appl-servers
se consideran obsoletos y se han quitado de Fedora. Estos paquetes suministran atención Kerberos para cliente y servidores telnet, ftp, rcp, rsh y rlogin. Los usuarios debería moverse a herramientas de seguridad más modernas como openssh.
El cifrado predeterminado en OpenVPN se ha cambiado a 256-bit AES-GCM
Las configuraciones OpenVPN utilizando el más nuevo archivo de unidad openvpn-server@.service
utiliza ahora un cifrado más fuerta para el túnel VPN de modo predeterminado. El modo predeterminado se cambia del algoritmo Blowfish usando claves de 128 bit al algoritmo AES-GCM con claves de 256 bit.
Para asegurar la compatibilidad hacia atrás, este nuevo predeterminado también habilita a los clientes que usen el algoritmo Blowfish no recomendado para conectarse utlizando la función --ncp-ciphers
disponible en OpenVPN 2.4.
Para facilitar una migración fácil desde Blowfish para los clientes que no soporten AES-GCM, estos clientes pueden ahora cambiar o añadir la opción --cipher
en la configuración cliente para AES-256-CBC
o AES-128-CBC
sin necesitar hacer ningún otro cambio en el servidor.
OpenSSH Server sigue ahora políticas criptográficas en todo el sistema
Fedora define políticas criptográficas en todo el sistema, que son seguidas por las librerías criptográficas y las herramientas, incluyendo los clientes OpenSSH. Esto permite a los adminisrradores usar diferentes niveles de seguridad en todo el sistema. Con esta actualización, OpenSSH Server se adhiere a estas políticas de todo el sistema, también.
This modification adds environment variables that specify enabled algorithms. The information is passed to the sshd
daemon on the command line. It is, therefore, necessary to restart the sshd
service for changes to crypto-policy configuration to take effect.
SSH-1 support removed from OpenSSH
The SSH-1 protocol is obsolete and no longer considered secure. As such, it is not supported by the default OpenSSH client binaries packaged for Fedora. This changes removes support for the SSH-1 protocol altogether by removing the openssh-clients-ssh1 subpackage.
libcurl switches to using OpenSSL
The libcurl library now uses OpenSSL for TLS and crypto (instead of NSS). TLS certificates and keys stored in the NSS database need to be exported to files for libcurl to be able to load them. See http://pki.fedoraproject.org/wiki/NSS_Database for instructions on how to work with the NSS database.
Want to help? Learn how to contribute to Fedora Docs ›