보안

시스템-전반 암호화 정책

네트워크 통신의 보안은 통신량 검사에 대한 첫 번째 방어선을 제공하는 강력한 TLS와 함께 페도라 프로젝트를 위한 우선 과제입니다. TLS 연결을 협상하는 두 가지 시스템은 이들 통신을 암호화하기 위해 공통 암호에 동의해야 하며, 그리고 암호가 더 이상 사용되지 않고, 이를 제외하는 것이 중요합니다.

관리자가 적절하게 안전하다고 생각할 수 있는 암호는 특정 암호에 대해 발표된 취약성에 의해 결정됩니다. 허용되는 암호 제품군은 인터넷에서 모든 통신에 적용되며, 그리고 특정 시스템이나 데몬에 특정하지 않습니다. 관리를 손쉽게 하고 시스템 보안 태세에서 관리자 신뢰를 증진하기 위해, 페도라는 TLS 암호가 한 곳에서만 최신화되도록 시스템-전역 구성을 사용하도록 다양한 소프트웨어를 구성했습니다.

페도라 26와 함께, 두 가지 이상의 것은 넓은-범위의 암호화 정책, `OpenSSH`와 `Java`등에 사용합니다.

OpenSSH 암호화

OpenSSH 클라이언트는 시스템을 선호하는 키 교환 알고리즘, 암호용 암호, 그리고 메시지 인증 코드(MAC) 알고리즘을 사용합니다. 이것은 , `/etc/ssh/ssh_config`의 `Include`지시문을 `/etc/ssh/ssh_config.d/*.conf`에서 포함되도록 활성화 되며, 이는 `/etc/crypto-policies/back- end/openssh.config`로 가져옵니다.

자바 암호

OpenJDK는 `/etc/crypto-policies/back-ends/java.config`에서 생성한 암호화 정책 파일에서 추가적인 보안 특성을 읽기 위해 수정됩니다

This change may affect connections to legacy systems that do not support more strict crypto policies. While it is possible to switch the system profile from DEFAULT to LEGACY, or to set security.useSystemPropertiesFile=false in a project’s java.security file (refer to https://docs.oracle.com/javase/8/docs/technotes/guides/security/PolicyFiles.html), it would be best to also update legacy applications to modern security standards.

OpenSSL 1.1.0

The introduction of OpenSSL 1.1.0 in Fedora 26 brings many big improvements, new cryptographic algorithms, and API changes that allow for keeping the ABI stable in future upgrades. There is also now a compat-openssl10 package in Fedora that provides OpenSSL 1.0.2 for dependent applications that cannot move to 1.1.0 yet.

OpenSSL 위키의 OpenSSL 1.1.0에 대하여 더 많은 정보가 있습니다.

OpenSC는 Coolkey로 교체됩니다

Fedora 26 is not shipping the Coolkey PKCS#11 module in the NSS database by default. Instead, there will be the OpenSC PKCS#11 module, which supports more different Smart Cards. The Coolkey package will be removed in Fedora 27. If other applications were using Coolkey, they should be able to switch to OpenSC.

In case you still need Coolkey in the NSS DB, you can add it manually using modutil -dbdir /etc/pki/nssdb -add "CoolKey PKCS #11 Module (manual)" -libfile libcoolkeypk11.so -force (the different name is used to prevent automatic removals when updating coolkey package).

Soon (during F26 cycle) there will be fully-featured 0.17.0 update to OpenSC with all the tested features and cards that should serve as a complete replacement of Coolkey.

로컬 사용자를 위한 SSSD 빠른 캐쉬

SSSD has shipped with a very fast memory cache in the last couple of Fedora releases. However, using this cache conflicts with nscd’s caching and nscd has been disabled by default. That degrades performance, because every user or group lookup must open the local files.

From Fedora 26, a new SSSD "files" provider will resolve users from the local files. That way, the "sss" NSS module can be configured before the files module in nsswitch.conf and the system can leverage sss_nss caching for both local and remote users. As a result, user and group resolution in Fedora will be much faster.

Authconfig 깔끔정리

더 이상 사용되지 않고 유지 할 수 없는 코드는 [command]`authconfig`에서 제거되었습니다. 다음과 같이 주목:

  • 그래픽 연결장치 (system-config-authentication)와 대화형 텍스트 방법, 오래되고 유지 할 수 없는 라이브러리(GTK+2 와 글래이드(Glade))에 의존 하는 것은 배포판에서 제거되었습니다.

  • The command line tool, which has been deprecated previously, continues to be part of the distribution for legacy reasons. However, some deprecated and obsolete functionality such as support for WINS and HESIOD has been removed in this release.

The removal effort is happening because current modern environments support automatic configuration of remote user identities using Realmd and SSSD and do not require manual configuration through an interactive interface such as system-config-authentication. Some of the existing authconfig command line functionality is being preserved due to it still retaining some usefulness in certain environments, and to support the auth command in Kickstart. Removing parts of the code base that are no longer maintainable makes it easier to continue providing this functionality.