5. 对系统管理员来说 Fedora 的改动
Dogtag Certificate System (DGS)是一个企业级的开源认证授权 (CA),它通过企业安全客户端 (ESC)可支持各种认证周期管理,包括认证授权 (CA)、数据恢复管理器 (DRM)、在线认证状态协议 (OCSP) 管理器、注册认证 (RA)、令牌密匙服务 (TKS)、令牌处理系统 (TPS) 以及智能卡管理。
modprobe白名单可让管理员在高安全环境下把modprobe加载的模块限制在管理员配置好的模块列表内。这一限制使未经授权的用户无法再利用不常用的模块(如附加硬件)中的漏洞。因此也就限制了可运行于内核中的潜在漏洞代码的数量。
modprobe除加载模块外也可以运行特定的命令(使用install
配置管理);这可以通过同一个白名单做限制。为了让系统管理员编译白名单,modprobe加入了额外的功能:它可以把所有信息(类似于用modprobe -v
)记录到指定文件,包括dracut initrd
中modprobe的动作。有脚本可用来从日志数据中编译白名单。
使用白名单可大大减少内核空间的攻击并可避免很少使用的内核模式代码漏洞带来的风险。从一个样本Fedora桌面系统来看,共加载1964个可用模块中的79个(4%)。按代码量计算,包括主内核文件(/boot/vmlinuz*
)在内,样本桌面系统运行8.36MB的内核空间代码,占34.66MB总量的24%。
用户帐户会话经过重新设计能够在单一用户系统或小部署系统上创建新用户以及修改用户相关信息。新会话在功能上代替了之前的几个工具,如system-config-user、 gnome-about-me、 gdmsetup和polkit-gnome-authorization,使得这些功能可以在同一位置设置。
PolicyKitOne代替了PolicyKit ,给KDE用户带来更好地应用程序及桌面体验。Fedora 12 KDE桌面版使用Gnome Authentication Agent 。PolicyKitOne让Fedora 13中的KAuth利用本地KDE验证代理变为可能。