Fedora Linux 系統安全

更新腳步不落人後 Fedora 17重裝上陣

2012-08-08
在Linux的各種發行版本不斷推陳出新的同時,年資已經屬於老前輩的Fedora,也沒有停下自己的腳步。相反地,Fedora的開發團隊仍然維持著大約每隔半年推出一個新版本的頻率,繼續提供Fedora愛好者一個穩定並且具有眾多功能支援的Linux發行版本。目前最新的版本編號為17,本文將詳細介紹這個新版本的新增功能與改善之處。
今年5月29日所推出的Fedora 17,是Fedora的最新力作。除了在核心與各種軟體套件的版本方面進行更新外,也在系統管理與使用者操作介面上提供許多改善。無論是在系統穩定性或是產品功能,Fedora 17都有更加突出的表現。

Fedora此次改版也針對各種核心軟體與系統套件進行版本更新,例如核心版本升級至3.3.4版,X.org則採用1.12版。至於桌面管理系統,採用的是GNOME 3.4與KDE 4.8,可以同時滿足不同桌面管理系統愛好者的升級需求。


系統安裝

大多數人在安裝Fedora時,可能都會先行下載光碟映像檔,燒錄後再進行安裝的方式。但有些時候可能因為各種理由,而只能採用網路安裝等方式進行系統安裝。

在Fedora 16的時代,若採用網路安裝方式,只需指定核心與initrd檔案的位置,即可進行安裝。也就是說,核心與initrd會自動取得stage1的位置,緊接著取得stage2並進行開機作業。但從Fedora 17開始,網路安裝的開機程序則產生一些變化。使用者必須以「repo」或「stage2」參數明確指定stage2的位置,才能正常開機並進行安裝。


▲Fedora 17的網路安裝功能有些修改,比以往版本稍微複雜。

至於應該使用「repo」或「stage2」參數的時機,則視stage2檔案與安裝套件所在位置而定。如果stage2映像檔放置於某部主機,而安裝套件放在另一個主機內,則須使用「stage2」參數;假若stage2映像檔與安裝套件都放在相同的主機之中,則可使用「repo」參數。

系統安全

為了增加系統安全,Fedora 17提供許多新功能,讓使用者可以在更安全的環境下使用Linux系統。例如此版本導入了libpwquality程式庫,此程式庫使用單一設定檔進行設計,並且可以用來檢查系統帳號所使用的新密碼,確保該密碼擁有一定的複雜度,能夠避免系統帳號被他人輕易破解。

如果需要重新設定libpwquality程式庫,則可以編輯「/etc/security/pwquality.conf」設定檔。如果使用者希望在自己的應用程式中呼叫libpwquality所提供的API函式庫,可以在pwquality.h檔案中找到相關的說明,此檔案由libpwquality-devel套件所提供。

在SELinux方面,Fedora 17提供一個新的布林設定值,也就是deny_ptrace。如果使用者不想在自己的主機上進行應用程式除錯等相關工作,建議將此設定值設為On。此設定值可避免惡意行程透過除錯工具(包括ptrace與gdb),以讀取甚至攻擊其他行程所擁有的記憶體空間。

即使惡意行程是透過root權限執行,部分的攻擊行為也能利用deny_ptrace設定加以阻擋。如果希望永久開啟此設定值,可使用root權限執行下列指令加以設定:


如果已經啟用deny_ptrace功能,則可以使用root權限執行下列命令,以暫時停用deny_ptrace功能:


先前的版本中,許多系統服務會使用「/tmp」或「/var/tmp」目錄作為暫存空間使用,但這可能會與一般帳號的使用產生衝突,甚至導致權限不正常擴張的情況。為了避免這樣的問題再出現,Fedora 17採用一項名為私有/tmp的技術。許多由systemd所管理的系統服務都被修改過,並使用系統服務本身的能力以提供私有的/tmp目錄。

如此一來,即可阻擋「/tmp」所產生的系統漏洞,並提高系統安全性。如果要啟用此功能,只需要修改systemd的設定檔,並加入下列設定即可:


除此之外,Fedora 17也將Kerberos認證系統升級至1.10版,此版本新增本地化的支援,也提供經由NAT進行密碼變更的方式。此外,也新增了kswitch指令,可以在憑據快取(Credential Caches)中進行切換,並在其他命令中提供額外的快取支援功能。憑據的選擇則可以經由$HOME/.k5identity檔案進行設定。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!