5. Veranderingen in Fedora voor systeem beheerders
5.1.1. Dogtag certificatie systeem
Dogtag certificaat systeem (DGS) is een bedrijfsmatig open bron Certificaat authoriteit (CA) voor ondersteuning van alle aspecten van certificaat levenscyclus beheer inclusief Certificaat Authoriteit (CA), Data Recovery Manager (DRM), Online Certificate Status Protocol (OCSP) Manager, Registration Authorityy (RA), Token Key Service (TKS), Token Processing System (TPS) en smartcard beheer, met behulp van Enterprise Security Client (ESC).
5.1.2. modprobe Whitelist
modprobe Whitelist geeft systeem beheerders in zwaar beveiligde omgevingen de mogelijkheid om voor het beperken van de modules die geladen worden door modprobe tot een specifieke lijst van modules geconfigureerd door de beheerder. Deze beperking maakt het onmogelijk voor gebruikers zonder rechten om kwetsbaarheden uit te buiten in modules die normaal niet gebruikt worden, bijvoorbeeld door het aansluiten van hardware. De hoeveelheid potentieel kwetsbare code die in de kernel kan draaien wordt hierdoor beperkt.
modprobe kan ook specifieke commando's uitvoeren in plaats van het laden van een module (met gebruik van de install
configuratie instructie); dit wordt ook door dezelfde whitelist beperkt. Om systeem beheerders te helpen de whitelist samen te stellen, is extra functionaliteit toegevoegd aan modprobe: het zal mogelijk zijn om alle informatie te loggen (overeenkomstig met het gebruiken van modprobe -v
) naar een gespecificeerd bestand, inclusief modprobe acties die draaien in de dracut initrd
. Een script zal aangeboden worden die een voorstel whitelist samenstelt van de gelogde data.
Gebruik deze whitelist om het kernel ruimte aanval oppervlak aanzienlijk te reduceren en vermijd risico voor kwetsbaarheden in zelden gebruikte kernel-mode code. Een voorbeeld bureaublad Fedora systeem heeft op dit moment 79 modules geladen, uit een totaal van 1964 beschikbare modules (4%). Als de code grootte berekend wordt, en de hoofd kernel (/boot/vmlinuz*
) wordt meegenomen, draait het voorbeeld bureaublad systeem 8.36 MB kernel-ruimte code, uit een totaal van 34.66 MB beschikbare (24%).
5.1.3. Gebruikersaccount dialoog
Een nieuw Gebruikersaccount dialoog is opnieuw ontworpen en geïmplementeerd om nieuwe gebruikers aan te maken en informatie gerelateerd aan een gebruiker te bewerken op enkele-gebruiker systemen of bij het inzetten van een klein aantal systemen. Dit nieuwe dialoog vervangt functionaliteit die eerder beschikbaar was is een aantal gereedschappen, zoals system-config-user, gnome-about-me, gdmsetup en polkit-gnome-authorization, en maakt dit beschikbaar op een plaats.
PolicyKitOne vervangt de verouderde PolicyKit en geeft KDE gebruikers een betere ervaring van hun toepassingen en het bureaublad in het algemeen. De Fedora 12 KDE Desktop Editie gebruikt Gnome Authentication Agent . PolicyKitOne maakt het mogelijk om de locale KDE autenticatie agent KAuth in Fedora 13 te gebruiken.