보안

GRUB2의 EFI 빌드는 이제 몇 가지 보안-지향 모듈을 포함합니다

The GRUB EFI build in Fedora 31 contains the cryptodisk, luks and verify GRUB modules. For more details see the Distribution-wide changes section.

기존 시스템-전반의 암호화 정책은 사용자 정의로 할 수 있습니다

The crypto-policies package has been enhanced and allows users to modify the existing system-wide crypto policy levels by removing or adding enabled algorithms and protocols.

For example, it is now possible to easily modify the existing DEFAULT policy to disable the SHA1 support or enable support for a national crypto algorithm that is supported by the crypto libraries but is disabled in the policies.

To achieve the above-mentioned outcome, add a simple configuration file and execute the update-crypto-policies command.

SSH는 더 이상 root 비밀번호 로그인을 허용하지 않습니다

The OpenSSH server no longer allows the root user to remotely log into Fedora using a password. This change is consistent with the upstream OpenSSH project, which disabled the remote root password login in the 7.0 release. Previously, the remote root password login was a common target of attacks.

root 사용자는 아직 공용 SSH 키를 사용하여 원격 로그인을 할 수 있습니다.

The /etc/ssh/sshd_config configuration file now disables the PermitRootLogin option. If you upgrade to Fedora 31 on a system where you have made changes to the configuration file, the upgrade process preserves your configuration and creates the new configuration in /etc/ssh/sshd_config.rpmnew.

킥스타트 또는 cloud-init 스크립트에서 원격 root 비밀번호 로그인을 사용하는 경우에, 페도라는 다음 대안을 권장합니다:

  • 공용 키 인증으로 전환.

  • 다른 관리자용 사용자를 생성합니다.

root 비밀번호 로그인으로 다시-활성화 할 수 있습니다:

  • 페도라 설치자(아나콘다)에서, `root`를 위한 비밀번호 설정 할 때에 passwd_option을 갖는 root SSH 로그인을 _Allow를 할 수 있습니다.

  • 이미 설치된 시스템에서, `/etc/ssh/sshd_config`에서 `PermitRootLogin=yes`선택을 설정합니다.

커버로스(Kerberos) 암호화 현대화

Kerberos (krb5) removes support for several known-bad encryption types. Hopefully users will see no changes, but to be sure you won’t, we started logging deprecation warnings in krb5-1.16.1-25.fc28/krb5-1.16.1-25.fc29/krb5-1.17-3.fc30. For more information on upgrading from deprecated encryption types, see MIT’s DES deprecation guide.