O Fedora 31 endurecerá sua configuração padrão finalmente desabilitando os logins de raiz OpenSSH baseados em senha. Assim, passará a seguir o padrão upstream dos últimos quatro anos e comportamento geralmente aplicado por outras distribuições Linux. O arquivo de configuração do daemon do OpenSSH padrão agora respeitará o padrão do upstream de proibir senhas para logins raiz. Portanto, o Fedora 31 vai desabilitar logins baseados em senha do OpenSSH Root e melhorar o GRUB2 EFI.
Aqueles que desejarem restaurar o antigo comportamento de permitir log-ins root com uma senha podem ajustar seu arquivo de configuração SSHD com a opção PermitRootLogin. No entanto, os usuários são encorajados a usar uma chave pública para log-ins root que é mais segura e será permitido ainda por padrão.
Mudança no Fedora 31 que irá finalmente desabilitar logins baseados em senha do OpenSSH Root por padrão foi anunciada em Comitê
O Comitê de Engenharia e Direção Fedora (FESCo) aprovou a mudança durante sua reunião na última semana.
O Fedora deve seguir para manter a expectativa de segurança e evitar surpresas dos usuários com esta configuração, diz o autor da proposta de alteração. Segundo ele, é preciso resgatar o que já é feito em outras distribuições desde 2015.
O Fedora 31 deverá ser lançado, de acordo com o cronograma oficial, no final de outubro. Ele deverá chegar com várias novidades, entre elas, o GNOME 3.34 e a migração de todos os pacotes de programas do Python 2 para o 3, segundo foi anunciado anteriormente.
GRUB2 EFI Build do Fedora vai oferecer maiores opções de segurança
Além de desabilitar os logins SSH baseados em senha root por padrão, outra mudança sendo feita no Fedora 31 em nome da maior segurança é adicionar alguns módulos adicionais do carregador de inicialização GRUB2 para serem embutidos em seu carregador de inicialização EFI.
Os módulos de segurança do GRUB2 para verificação, o Cryptodisk e o LUKS agora farão parte da versão padrão do GRUB2 EFI. Eles estão sendo integrados agora, já que aqueles que usam os recursos do UEFI SecureBoot não podem carregar dinamicamente esses módulos devido a restrições em vigor no SecureBoot.
Portanto, até agora, o uso do SecureBoot não permitia que os usuários desfrutassem da criptografia da partição de inicialização e do módulo “verificar”. Isto garante melhor integridade do código inicial do carregador de inicialização.
Na última reunião da FESCo, a decisão foi aprovada para incluir esses módulos na versão padrão do GRUB2 EFI, começando com o Fedora 31, que será lançado em outubro.
Para versões futuras, eles também podem ter a verificação de assinatura automática como parte do grub2-mkconfig, bem como permitir que o cryptodisk seja configurado a partir do instalador do Anaconda.