5. Změny ve Fedoře pro systémové správce
5.1.1. Certifikační systém Dogtag
Dogtag Certificate System (DGS) je open-source Certificate Authority (CA) třídy enterprise podporující všechny aspekty správy životního cyklu certifikátů, zahrnující Certificate Authority (CA), Data Recovery Manager (DRM), Online Certificate Status Protocol (OCSP) Manager, Registration Authority (RA), Token Key Service (TKS), Token Processing System (TPS) a správu čipových karet, pomocí Enterprise Security Client (ESC).
5.1.2. Bílá listina modprobe
Whitelist modprobe umožňuje v situacích s vysokým zabezpečením omezit systémovým správcům moduly zaváděné tímto programem na specifický seznam modulů nastavený správcem. Toto omezení zabraňuje neprivilegovaným uživatelům využít zranitelnosti v modulech, které nejsou běžně používány, např. jen při připojení hardwaru. Množství potenciálně zranitelného kódu, který může být v jádře spuštěn, je tak omezené.
modprobe může rovněž namísto zavádění modulů spouštět specifikované příkazy (použitím konfigurační direktivy install
); toto je rovněž omezeno na stejný whitelist. Do modprobe je přidána dodatečná funkcionalita, která pomáhá systémovým správcům sestavit whitelist: bude možné zaprotokolovat všechny informace (podobné použití příkazu modprobe -v
) do určeného souboru, včetně spouštění akcí modprobe v dracut initrd
. K dispozici bude skript, který sestaví navrhovaný whitelist z údajů protokolu.
Využívejte tento whitelist pro významné snížení napadnutelnosti prostoru jádra a vyhnutí se riziku zranitelností v ne příliš často využívaném kódu jádra. Standardní desktopový systém Fedory má zaveden 79 modulů z dostupných 1964 (4 %). Z pohledu velikosti kódu, při zahrnutí hlavního souboru jádra (/boot/vmlinuz*
), běží v systému 8.36 MB kódu z prostoru jádra, z dostupných 34.66 MB (24 %).
5.1.3. Dialog uživatelského účtu
Je přepracován nový dialog pro účet uživatele a implementován k vytváření nových uživatelů a úpravám informací souvisejících s uživatelem v jednouživatelském systému nebo malé implementaci. Nový dialog nahrazuje funkcionalitu, která byla v minulosti k dispozici v různých nástrojích, jako např. system-config-user, gnome-about-me, gdmsetup nebo polkit-gnome-authorization, a nabízí ji z jednoho místa.
PolicyKitOne nahrazuje zastaralý, opouštěný PolicyKit a poskytuje uživatelům KDE obecně lepší zkušenost z jejich aplikací a pracovního prostředí. Desktopová edice Fedory 12 používala Gnome Authentication Agent . PolicyKitOne umožňuje využít KAuth, nativní autentizační agent KDE ve Fedoře 13.