Documentation for a newer release is available. View Latest

Seguridad

La pila PARSEC está ahora disponible en Fedora

La Plataforma de Abstracción para Seguridad (PARSEC) es una iniciativa de código abierto que suministra una API común para el acceso seguro a las credenciales almacenadas en el hardware de forma independiente a la plataforma.

PARSEC sirve como una capa de abstracción que mantiene las cargas de trabajo desacopladas de los detalles físicos de la plataforma. Esto perite flujos de entrega nativos dentro del centro de datos y en el sector de computación exterior.

Después de que los usuarios instalen la pila PARSEC en la edición Fedora Workstation, el demonio PARSEC arrancará automáticamente durante el principio del proceso de arranque. En la edición Fedora IoTn, la instalación de la pila y el arranque del demonio se hace por el mismo SO.

Desde la perspectiva hardware, el demonio PARSEC puede utilizar actualmente un chip Trusted Platform Module 2 (TPM2), un dispositivo Hardware Security Module (HSM) o sistemas que tengan habilitada la tecnología Arm TrustZone.

Configuraciones Criptográficas Sólidas - Fase 2

Fedora 33 deshabilita:

  • Los Protocolos TLS más antiguos que la versión 1.2 versión, de modo que las versiones TLS 1.0 y 1.1 están ahora deshabilitadas de modo predeterminado.

  • Las firmas hash SHA en los protocolos TLS, SSH e IKE.

  • El intercambio de clave Diffie Hellman con un tamaño de parámetro menor de 2048 bits.

Como resultado Fedora 33 no puede comunicarse con sistemas heredados que soportan todas las entidades deshabilitadas que se describen arriba.

Si desea comunicarse con los sistemas heredados, puede:

  • Establecer la política de cifrado de todo el sistema en LEGACY, usando el comando siguiente:

    ----     # update-crypto-policies --set LEGACY
* O añadir el trozo siguiente a su archivo de configuración ssh (~/.ssh/config)
+
[source,shell]

Host <server-name>

PubkeyAcceptedKeyTypes ssh-rsa
* Para Dovecot en RHEL/CentOS superior a 7.8 (se corrigió en 7.9) se establece en /etc/pki/dovecot/dovecot-openssl.cnf:
+
[source, shell]

[ req ] default_bits = 3072

* El método más seguro es usar Elliptic Curve Digital Signature Algorithm (ECDSA) para generar nuevas claves ssh, ya que los métodos anteriores anulan las nuevas políticas de cifrado de Fedora 33 haciendo su sistema vulnerable.