보안

기본으로 커버러스 KCM 자격 증명 캐쉬

페도라 27은 기본적으로 sssd-kcm 서비스에서 구현된 커버러스 캐쉬 관리자(KCM)라는 새로운 커버러스 자격 증명 캐쉬 유형을 사용하며, 이는 컨테이너화된 환경에 더 적합하고 일반적인 경우에 더 나은 사용자 경험을 제공합니다. KCM의주요 기능은 다음과 같습니다:

  • 커버러스 자격 증명 캐쉬는 유닉스 소켓 진입점을 갖는 사용자 공간 데몬에 의해 처리됩니다. 이는 캐쉬 소유자의 UIDs와 GIDs를 의미 하는 것은 UID 이름 공간에 적용되며, 이는 컨테이너화된 환경에서 유용합니다.

  • 유닉스 소켓은 요구에 따라 컨테이너에 적재 될 수 있으며, 그러므로 다음 하나 또는 더 많은 컨테이너가 단일 커버러스 자격 증명 캐쉬를 공유 할 수 있습니다.

  • KCM 데몬은 상태저장됩니다. F-27에서 그와 같은 장점을 갖는 기능이 구현되지 안지만, 데몬은 만약 필요한 경우에 사용자의 커버러스 자격 증명을 자동으로 새로 고칠 수 있습니다.

KCM 사용에 대한 정보는 man sssd-kcm 와 `man sssd-secrets`에서도 찾을 수 있으며, 왜냐하면 KCM은 자료 저장을 위해 sssd-secrets를 사용하기 때문입니다. 추가 정보는 KCM을 위한 SSSD 디자인 부분에 포함되어 있습니다.

krb5-appl 꾸러미가 제거되었습니다

krb5-appl-clientskrb5-appl-servers 꾸러미는 더 이상 사용되지 않는 것으로 고려되었으며 페도라에서 제거되었습니다. 이들 꾸러미는 커버러스-인식 텔넷, ftp, rcp, rsh,그리고 rlogin 클라이언트와 서버를 제공했습니다. 사용자는 openssh와 같은 더 현대적인 보안도구로 이동해야 합니다.

OpenVPN에서 기본 설정된 암호는 256-bit AES-GCM으로 변경되었습니다

최신 openvpn-server@.service 단위 파일을 사용하는 OpenVPN 구성은 이제 기본 설정으로 VPN 터널을 위해 더 강력한 암호를 사용합니다. 기본 값은 128-비트 키를 사용하는 Blowfish 알고리즘에서 256-비트 키를 사용하는 최신 AES-GCM 알고리즘으로 변경됩니다.

To ensure backwards compatibility, this new default also enables clients still using the not recommended Blowfish algorithm to connect by utilizing the --ncp-ciphers feature being available in OpenVPN 2.4.

To facilitate an easy migration path away from Blowfish for clients not supporting AES-GCM, these clients can now add or change the --cipher option in the client configuration to either AES-256-CBC or AES-128-CBC without needing to do any other server changes.

OpenSSH 서버는 이제 시스템-전반의 암호화 정책을 따릅니다

Fedora defines system-wide crypto policies, which are followed by cryptographic libraries and tools, including OpenSSH clients. This allows administrators to use different system-wide security levels. With this update, OpenSSH Server adheres to these system-wide crypto policies, too.

This modification adds environment variables that specify enabled algorithms. The information is passed to the sshd daemon on the command line. It is, therefore, necessary to restart the sshd service for changes to crypto-policy configuration to take effect.

SH-1 지원이 OpenSSH에서 제거되었습니다

The SSH-1 protocol is obsolete and no longer considered secure. As such, it is not supported by the default OpenSSH client binaries packaged for Fedora. This changes removes support for the SSH-1 protocol altogether by removing the openssh-clients-ssh1 subpackage.

libcurl은 OpenSSL 사용으로 전환합니다

The libcurl library now uses OpenSSL for TLS and crypto (instead of NSS). TLS certificates and keys stored in the NSS database need to be exported to files for libcurl to be able to load them. See http://pki.fedoraproject.org/wiki/NSS_Database for instructions on how to work with the NSS database.