Product SiteDocumentation Site

5. Fedora の変更点 - システム管理者向け

5.1. セキュリティー

5.1.1. Dogtag Certificate System

Dogtag Certificate System (DGS) とはエンタープライズクラスのオープンソース Certificate Authority (CA)であり、 Enterprise Security Client (ESC) を介した Certificate Authority (CA)、 Data Recovery Manager (DRM)、 Online Certificate Status Protocol (OCSP) Manager、 Registration Authority (RA)、 Token Key Service (TKS)、 Token Processing System (TPS)、 スマートカード管理などを含む証明ライフサイクル管理のあらゆる側面をサポートします。.
詳細については Fedora wiki にある Dogtag Certificate System のページを参照してください (http://fedoraproject.org/w/index.php?title=Features/DogtagCertificateSystem)。

5.1.2. modprobe Whitelist

modprobe Whitelist を使用するとシステム管理者は高いセキュリティ性が必要とされる状況下で modprobe によりロードされるモジュールを管理者が設定する特定のモジュール一覧に制限することができるようになります。 これにより、 たとえばハードウェアに接続するなど通常は使用されないモジュールの弱点を突いた悪用が特権を持たないユーザーには不可能になります。 したがって、 カーネル内で実行可能な悪用されやすい可能性のあるコードの量は限られます。
また、 modprobe はモジュールをロードする代わりに指定コマンドを実行することもできます (install 設定ディレクティブを使用)。 これも同じ whitelist を使って制限されます。 システム管理による whitelist のコンパイルを容易にするため、 modprobe には追加の機能が加えられています。 dracut initrd で実行する modprobe アクションなど指定ファイルにすべての情報をログ記録することが可能となります (modprobe -v を使用するのと同様)。 ログ記録されたデータから whitelist をコンパイルするスクリプトが提供されます。
この whitelist を使用してカーネル領域の攻撃面を大幅に低減し、 滅多に使用されないカーネルモードのコード内の脆弱性のリスクを回避します。 サンプルのデスクトップ Fedora システムは現在、 使用可能な 1964 モジュールのうち 79 モジュールをロードしています (4%)。 メインのカーネル (/boot/vmlinuz*) を含めコードサイズをカウントすると、 サンプルのデスクトップシステムは使用可能な 34.66 MB のうち 8.36 MB のカーネル領域コードを実行しています (24%)。
この機能に関する全詳細については Fedora wiki にある Modprobe Whitelist 機能ページを参照してください (http://fedoraproject.org/w/index.php?title=Features/ModprobeWhitelist)。

5.1.3. ユーザーアカウントのダイアログ

シングルユーザーのシステムや小規模のデプロイメントでのユーザー関連情報の編集あ新規ユーザーの作成用にユーザーアカウントのダイアログが新たに再設計され実装されました。 この新しいダイアログは system-config-usergnome-about-megdmsetuppolkit-gnome-authorization などの各種ツールで今まで使用可能であった機能より優先され、 一箇所で利用することができるようになります。
Fedora wiki の User Account Dialog ページで詳細をご覧ください (http://fedoraproject.org/w/index.php?title=Features/UserAccountDialog)。

5.1.4. Policy Kit One

PolicyKitOne が旧式で廃止となった PolicyKit と置換されるため、 KDE ユーザーにとって全般的にアプリケーションやデスクトップの使い心地が向上します。 Fedora 12 KDE Desktop Edition は Gnome Authentication Agent を使用していました。 PolicyKitOne によりネイティブの KDE 認証エージェントの KAuth が Fedora 13 で利用可能になります。
この機能の全詳細については Fedora wiki の KDE PolicyKit One Qt ページを参照してください (http://fedoraproject.org/w/index.php?title=Features/KDE_PolicyKitOneQt)。