Documentation for a newer release is available. View Latest

보안

기본으로 커버러스 KCM 자격 증명 캐쉬

페도라 27은 기본적으로 sssd-kcm 서비스에서 구현된 커버러스 캐쉬 관리자(KCM)라는 새로운 커버러스 자격 증명 캐쉬 유형을 사용하며, 이는 컨테이너화된 환경에 더 적합하고 일반적인 경우에 더 나은 사용자 경험을 제공합니다. KCM의주요 기능은 다음과 같습니다:

  • 커버러스 자격 증명 캐쉬는 유닉스 소켓 진입점을 갖는 사용자 공간 데몬에 의해 처리됩니다. 이는 캐쉬 소유자의 UIDs와 GIDs를 의미 하는 것은 UID 이름 공간에 적용되며, 이는 컨테이너화된 환경에서 유용합니다.

  • 유닉스 소켓은 요구에 따라 컨테이너에 적재 될 수 있으며, 그러므로 다음 하나 또는 더 많은 컨테이너가 단일 커버러스 자격 증명 캐쉬를 공유 할 수 있습니다.

  • KCM 데몬은 상태저장됩니다. F-27에서 그와 같은 장점을 갖는 기능이 구현되지 안지만, 데몬은 만약 필요한 경우에 사용자의 커버러스 자격 증명을 자동으로 새로 고칠 수 있습니다.

KCM 사용에 대한 정보는 man sssd-kcm 와 `man sssd-secrets`에서도 찾을 수 있으며, 왜냐하면 KCM은 자료 저장을 위해 sssd-secrets를 사용하기 때문입니다. 추가 정보는 KCM을 위한 SSSD 디자인 부분에 포함되어 있습니다.

krb5-appl 꾸러미가 제거되었습니다

krb5-appl-clientskrb5-appl-servers 꾸러미는 더 이상 사용되지 않는 것으로 고려되었으며 페도라에서 제거되었습니다. 이들 꾸러미는 커버러스-인식 텔넷, ftp, rcp, rsh,그리고 rlogin 클라이언트와 서버를 제공했습니다. 사용자는 openssh와 같은 더 현대적인 보안도구로 이동해야 합니다.

OpenVPN에서 기본 설정된 암호는 256-bit AES-GCM으로 변경되었습니다

최신 openvpn-server@.service 단위 파일을 사용하는 OpenVPN 구성은 이제 기본 설정으로 VPN 터널을 위해 더 강력한 암호를 사용합니다. 기본 값은 128-비트 키를 사용하는 Blowfish 알고리즘에서 256-비트 키를 사용하는 최신 AES-GCM 알고리즘으로 변경됩니다.

하위 호환성을 보장하려면, 이와 같은 신규 기본값은 또한 OpenVPN 2.4에서 사용 할 수 있는 --ncp-ciphers 기능을 사용하여 여전히 권장되지 않는 Blowfish 알고리즘을 사용하는 클라이언트가 연결 할 수 있도록 합니다.

AES-GCM을 지원하지 않는 클라이언트를 위해 Blowfish에서 쉽게 이전 경로를 사용하려면, 이들 클라이언트는 다른 서버 변경을 수행 할 필요 없이 클라이언트 구성에서 --cipher 옵션을 AES-256-CBC 또는 `AES-128-CBC`으로 추가하거나 변경 할 수 있습니다.

OpenSSH 서버는 이제 시스템-전반의 암호화 정책을 따릅니다

페도라는 OpenSSH 클라이언트를 포함하는 암호화 라이브러리와 도구에 의해 제시되는 시스템-전반의 암호화 정책을 정의합니다. 이는 시스템 관리자를 차원이 다른 시스템-전반의 보안 수준을 사용하여 허용합니다. 이와 같은 최신화로, OpenSSH 서버는 또한 이들 시스템-전반의 암호화 정책을 고수합니다.

이와 같은 수정은 활성화된 알고리즘을 지정하는 환경 변수를 추가합니다. 정보는 명령 줄에서 sshd 데몬으로 전달됩니다. 그런 이유로, 암호화-정책 구성의 변경을 적용하기 위해 sshd 서비스를 다시 시작해야 합니다.

SH-1 지원이 OpenSSH에서 제거되었습니다

SSH-1 통신규약은 보안에 더 이상 사용하지 않고 더 이상 고려되지 않습니다. 그래서, 이는 페도라를 위해 꾸러미된 기본설정 OpenSSH 클라이언트 라이브러리를 지원하지 않습니다. 이와 같은 변경은 openssh-clients-ssh1 하위 꾸러미 제거에 의해 모든 SSH01 통신규약을 위한 지원을 제거합니다.

libcurl은 OpenSSL 사용으로 전환합니다

libcurl 라이브러리는 이제 TLS와 보안(NSS 대신에 crypto)을 위해 사용합니다. NSS 데이타베이스에 저장된 TLS 인증서와 키는 *libcurl*을 적재 할 수 있도록 파일로 보내져야 합니다. NSS 데이타베이스와 함께 동작하는 방법에 대한 지침을 위해 http://pki.fedoraproject.org/wiki/NSS_Database를 참고하세요.