Keamanan

Dengan pembaruan ini, kebijakan Fedora default mengenai komponen kriptografi telah diperbarui untuk melarang penggunaan algoritme yang tidak lagi dianggap aman. Secara khusus, perubahan melibatkan:

Dengan pembaruan ini, pustaka libcurl beralih dari menggunakan libssh2 untuk mengimplementasikan lapisan SSH protokol SCP dan SFTP ke libssh. Alasan perubahan ini adalah karena library libssh2 menggunakan algoritme kriptografi yang sudah usang dan tidak memiliki fitur penting, seperti autentikasi GSS-API. Pustaka libssh yang baru digunakan lebih aman, lengkap fitur, dan dengan komunitas upstream yang lebih aktif.

Di Fedora 28, format file default yang digunakan oleh perpustakaan NSS diubah menjadi SQL.

Pustaka Layanan Keamanan Jaringan (NSS), yang digunakan oleh Mozilla Firefox, Gnome Evolution, Mozilla Thunderbird, dan aplikasi lainnya, mengubah format basis data default untuk menyimpan kunci, sertifikat, dan informasi kepercayaan. Format database baru didasarkan pada SQlite dan menggunakan nama file cert9.db, key4.db, dan pkcs11.txt. Format database sebelumnya menggunakan Berkeyley DB (DBM) dan nama file cert8.db, key3.db, dan secmod.db.

Manfaat utama dari penyimpanan SQLite adalah dukungan untuk akses bersamaan oleh beberapa aplikasi. Saat menggunakan format file default sebelumnya berdasarkan DBM, akses bersamaan yang tidak disengaja dapat mengakibatkan penyimpanan rusak.

Kecuali jika aplikasi secara eksplisit meminta format DBM atau SQL, pustaka NSS akan secara otomatis memigrasikan database NSS aplikasi dari format lama ke format baru. File database lama tidak akan diperbarui lebih lanjut. Sebagian besar pengguna seharusnya tidak mengalami perbedaan dalam pengoperasian. Aplikasi yang melakukan banyak operasi baca/tulis NSS mungkin mengalami sedikit penurunan kinerja. Gunakan perintah berikut untuk memicu migrasi eksplisit:

Pengguna yang menyimpan home sistem atau direktori data aplikasi pada sistem file jaringan disarankan untuk menyetel variabel lingkungan NSS_SDB_USE_CACHE=yes sebelum memulai aplikasi yang menggunakan NSS. Tanpa menyetel variabel lingkungan ini, pengguna sistem file jaringan mungkin mengalami perlambatan besar dengan beberapa aplikasi, seperti Firefox. Variabel lingkungan memungkinkan penggunaan strategi caching di NSS yang bekerja di sekitar kelambatan sistem file jaringan. Karena strategi caching ini menyebabkan penurunan kinerja pada sistem file cepat.

Detail teknis tambahan dapat ditemukan di Fedora Wiki: tautan: https://fedoraproject.org/wiki/Changes/NSSDefaultFileFormatSql.

Fedora 28 menghapus dukungan untuk tcp_wrappers (alias /etc/hosts.deny mengakses file) secara default dari semua daemon dan alat jaringan. Pengganti yang lebih disukai adalah firewalld perangkat lunak, aturan nftables, atau aturan akses khusus perangkat lunak untuk penyaringan yang lebih kompleks. Jika keamanan sistem Anda bergantung pada aturan tcp_wrappers, konversikan aturan tersebut ke aturan firewall, atau atur tcpd untuk melakukan pekerjaan yang sama untuk Anda.

Dengan pembaruan ini, distribusi OpenLDAP di Fedora berubah dari menggunakan perpustakaan NSS (atau MozNSS) menjadi perpustakaan OpenSSL untuk menyediakan fungsi kriptografi. Switch menjanjikan dukungan yang lebih baik dari OpenLDAP upstream, yang telah berhenti mempertahankan lapisan dukungan NSS.

Klien dan server OpenLDAP sekarang menggunakan system-wide certificate store secara default, alih-alih /etc/openldap/certs.

Fedora memiliki menghentikan penggunaan pembungkus TCP. Proyek OpenLDAP juga mencegah penggunaan mereka dan menyarankan agar firewall IP digunakan sebagai gantinya. Dengan pembaruan ini, OpenLDAP tidak akan dikonfigurasi dengan --enable-wrappers sehingga konfigurasi pembungkus TCP tidak akan berpengaruh pada OpenLDAP. Cara lain harus digunakan untuk melindungi server OpenLDAP.

Fedora 28 menggantikan authconfig dengan authselect sebagai alat default untuk menghasilkan file konfigurasi PAM dan nsswitch.conf. Pada instalasi baru, authselect, bersama dengan alat kompatibilitas authconfig, akan diinstal secara default, bukan authconfig. Pada instalasi yang ditingkatkan, authconfig akan diganti dengan authselect dan alat kompatibilitas tetapi konfigurasi yang dihasilkan oleh authconfig akan dibiarkan utuh. Alat kompatibilitas authconfig akan dihapus dari Fedora di rilis mendatang. Halaman manual authselect-migration(7) menjelaskan cara bermigrasi dari authconfig ke authselect .