Güvenlik

PARSEC kümesi artık Fedora’da kullanılabilir

Platform AbstRaction for SECurity (PARSEC), donanımda depolanan güvenli kimlik bilgilerine platformdan bağımsız bir şekilde erişmek için ortak bir API sağlayan açık kaynaklı bir girişimdir.

PARSEC, yapılan işleri fiziksel platform ayrıntılarından ayrı tutmayı sağlayan bir soyutlama katmanı görevi görür. Bu, veri merkezi içinde ve uç bilgi işlem sektöründe buluta özel teslimat akışlarına olanak tanır.

Kullanıcılar PARSEC kümesini Fedora Workstation sürümüne yükledikten sonra, PARSEC arka plan programı erken önyükleme işlemi sırasında otomatik olarak başlatılacaktır. Fedora IoT sürümünde, küme kurulumu ve arka plan programının başlatılması işletim sisteminin kendisi tarafından yapılır.

Donanım açısından, PARSEC arka plan programı şu anda Güvenilir Platform Modülü 2 (Trusted Platform Module 2 - TPM2) yongası, Donanım Güvenlik Modülü (Hardware Security Modul - HSM) aygıtı veya Arm TrustZone teknolojisinin etkin olduğu sistemleri kullanabilir.

Güçlü Şifreleme Ayarları - 2. Aşama

Fedora 33’te aşağıdakiler devre dışı bırakıldı:

  • TLS protokollerinin 1.2 sürümünden daha eski sürümleri, yani TLS 1.0 ve 1.1 artık öntanımlı olarak devre dışı bırakıldı.

  • TLS, SSH ve IKE protokollerinde SHA sağlama (hash) imzaları.

  • Parametre boyutu 2048 bitten az olan Diffie Hellman anahtar değişimi.

Sonuç olarak Fedora 33, yukarıda belirtilen devre dışı bırakılan özellikleri destekleyen eski sistemlerle iletişim kuramaz.

Eski sistemlerle iletişim kurmak istiyorsanız şunları yapabilirsiniz:

  • Aşağıdaki komutu kullanarak sistem çapında şifreleme politikasını LEGACY olarak ayarlayın:

    ----     # update-crypto-policies --set LEGACY
* Veya aşağıdaki satırları ssh yapılandırma dosyanıza (~/.ssh/config) ekleyin
+
[source,shell]

Host <sunucu-adı>

PubkeyAcceptedKeyTypes ssh-rsa
* RHEL/CentOS 7.8 sürümüne kadar (7.9 sürümünde düzeltildi) Dovecot için /etc/pki/dovecot/dovecot-openssl.cnf dosyasında aşağıdaki ayarı yapın:
+
[source, shell]

[ req ] default_bits = 3072

* Yukarıdaki yöntemler Fedora 33'teki yeni şifreleme politikalarını geçersiz kılarak sisteminizi savunmasız hale getirdiği için, en güvenli yöntem yeni ssh anahtarları oluşturmak için Eliptik Eğri Dijital İmza Algoritmasını (Elliptic Curve Digital Signature Algorithm - ECDSA) kullanmaktır.