보안

PARSEC 스택은 이제 페도라에서 사용 할 수 있습니다

보안을 위한 기술환경 AbstRaction (PARSEC)는 기술환경-제약 받지 않는 방식으로 하드웨어에 저장된 보안 자격증명에 접근하기 위한 공통 API를 제공하는 개방형 원천 발의입니다.

PARSEC는 작업부하를 물리적 기술환경 세부 정보에서 분리된 상태를 유지하는 추상화 계층 역할을 합니다. 이는 데이터 센터와 에지 컴퓨팅 부분에서 클라우드-네이티브 전달 흐름을 가능하게 합니다.

사용자가 페도라 웍스테이션 배포판에 PARSEC 스택을 설치한 후에, PARSEC 데몬은 초기 부팅 프로세스 중에 자동으로 시작 될 것입니다. 페도라 사물인터넷(IoT) 배포판에서, 스택 설치와 데몬 시작은 운영체제 자체에서 수행됩니다.

하드웨어 관점에서, PARSEC 데몬은 현재 신뢰 할 수 있는 플랫폼 모듈 2(TPM2) 칩, 하드웨어 보안 모듈(HSM) 장치, 또는 암(Arm) TrustZone 기술이 활성화된 시스템을 사용 할 수 있습니다.

강력한 암호화 설정 - 2 단계

페도라 33 비활성화:

  • 버전 1.2 보다 이전의 TLS 통신규약 버전, 그러한 TLS 버전 1.0과 1.11은 이제 기본으로 비활성화 됩니다.

  • TLS, SSH와 IKE 통신규약에서 SHA 해쉬 서명.

  • 매개변수 크기가 2048비트 미만을 갖는 Diffie Hellman 키 교환방식.

결과적으로, 페도라 33은 위에 설명되는 비활성화된 모든 실체(entities)를 지원하는 레거시 시스템과 통신 할 수 없습니다.

만약 당신이 레거시 시스템과 통신을 하고자 한다면, 다음과 같을 수 있습니다:

  • 다음과 같은 아래 명령을 사용하여, 시스템 전반의 암호화 정책을 LEGACY로 설정합니다:

    ----     # update-crypto-policies --set LEGACY
* 또는 아래 인용부분을 ssh 구성 파일에 추가하세요 (~/.ssh/config)
+
[source,shell]

Host <server-name>

PubkeyAcceptedKeyTypes ssh-rsa
* /etc/pki/dovecot/dovecot-openssl.cnf에서 설정된 RHEL/CentOS(7.8 까지/7.9에서 수정됨)에서의 Dovecot을 위해:
+
[source, shell]

[ req ] default_bits = 3072

* 가장 안전한 방법은 타원 곡선 디지털 서명 알고리즘(ECDSA)를 사용하여 신규 ssh 키를 생성하는 것이고, 위의 방법은 자신의 시스템을 취약하게 만드는 페도라 33의 새로운 암호화 정책을 재정의합니다.