Verbesserte Sicherheitsfunktionen

In diesem Abschnitt werden alle neuen oder überarbeiteten Sicherheitsfunktionen in Solaris 10 3/05 gegenüber der im Mai 2002 veröffentlichten Version Solaris 9 dargestellt. Process Rights Management und·Softwaregruppe mit eingeschränkter Netzwerkunterstützung spielen eine besonders wichtige Rolle. Welche Sicherheitsverbesserungen mit Solaris 10 7/05 eingeführt wurden, können Sie unter Verbesserte Sicherheitsfunktionen nachlesen.

Zusätzlich zu den hier dargestellten Sicherheitsleistungsmerkmalen stehen Ihnen in den Abschnitten über Entwicklungstools und die Installation folgende Beschreibungen sicherheitsrelevanter Leistungsmerkmale zur Verfügung:

• WAN-Boot-Installationsverfahren

• Softwaregruppe mit eingeschränkter Netzwerkunterstützung

• Neue Mechanismen für Solaris Cryptographic Framework

• Die Optionen Retail und Nonretail für Provider in Solaris Cryptographic Framework

• SASL (Simple Authentication and Security Layer) für Entwickler

• SPNEGO-Pseudomechanismus für GSS-API-Anwendungen

• Verbesserte crypt()-Funktion für Softwareentwickler

• SmartCard-Terminalschnittstellen

• Smartcard-Middleware-APIs

Signieren von ELF-Objekten

Dieses Leistungsmerkmal wurde mit Solaris 10 3/05 eingeführt.

Die Bibliotheken und ausführbaren Dateien in Solaris 10 können digitale Signaturen aufnehmen, die zur Überprüfung der Integrität dieser Dateien eingesetzt werden können. Eine digitale Signatur bietet eine Möglichkeit, versehentliche Änderungen oder unsachgemäße Eingriffe im ausführbaren Inhalt einer Datei zu erkennen.

Plugins für das Solaris Cryptographic Framework werden beim Laden des Systems automatisch überprüft. Der Befehl elfsign kann zur manuellen Überprüfung einer signierten Datei verwendet werden. Des Weiteren können Entwickler und Administratoren ihren eigenen Code mit dem Befehl elfsign signieren.

Weitere Informationen entnehmen Sie bitte der Manpage elfsign(1).

Process Rights Management

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Administrationsvorgänge unter Solaris, für die zuvor Superuser-Rechte erforderlich waren, werden nun durch die Prozessrechteverwaltung geschützt. Bei der Prozessrechteverwaltung werden Prozesse auf Befehls-, Benutzer-, Rollen- oder Systemebene anhand von Berechtigungen beschränkt. Eine Berechtigung (engl. privilege) ist ein einzelnes Recht, das ein Prozess zum Durchführen eines Vorgangs benötigt. Das System beschränkt die Prozesse auf genau die Berechtigungen, die für den aktuellen Vorgang erforderlich sind. Es sind also weniger root-Prozesse dem Risiko der Ausnutzung ausgesetzt. Die setuid-Programme wurden stark dezimiert.

Hinsichtlich der Berechtigungsverbesserungen sind Software Express und Solaris 10 3/05 in der Standardinstallation vollständig mit vorherigen Versionen des Betriebssystems Solaris kompatibel. Unveränderte Programme, die als root ausgeführt werden, laufen mit sämtlichen Berechtigungen.

Geräteschutz – Die Geräte sind durch eine Sicherheitsrichtlinie geschützt. Diese Richtlinie wird anhand von Berechtigungen umgesetzt. Die Fähigkeiten eines Geräts hängen also nicht ausschließlich von den Zugriffsrechten in der Gerätedatei ab. Unter Umständen werden für den Betrieb des Geräts auch Berechtigungen benötigt.

Zuvor durch UNIX-Zugriffsrechte geschützte Systemschnittstellen werden nun durch Berechtigungen geschützt. So dürfen beispielsweise Elemente der Gruppe sys nicht mehr automatisch das Gerät /dev/ip öffnen. Prozesse, die mit der Berechtigung net_rawaccess laufen, können auf das Gerät /dev/ip zugreifen. Beim Booten des Systems bleibt der Zugriff auf sämtliche Geräte so lange beschränkt, bis der Befehl devfsadm in der Boot-Sequenz ausgeführt wird. Die Anfangsrichtlinie ist so strikt wie möglich gehalten. Sie lässt keine Verbindungsherstellungen außer durch den Superuser zu.

Weitere Informationen entnehmen Sie bitte den folgenden Man Pages:

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

Es wird empfohlen, dass Prozesse, die Solaris IP-MIB-Informationen abrufen müssen, /dev/arp öffnen und die Module “tcp” und “udp” anstoßen (push). Hierfür werden keine Berechtigungen benötigt. Dieses Vorgehen hat dieselbe Wirkung wie das Öffnen von /dev/ip und Anstoßen der Module “arp”, “tcp” und “udp”. Da zum Öffnen von /dev/ip nun eine Berechtigung benötigt wird, ist der Weg über /dev/arp vorzuziehen.

Weitere Informationen entnehmen Sie bitte den folgenden Abschnitten im Dokument System Administration Guide: Security Services :

• “Using Roles and Privileges (Overview)”

• “Privileges (Overview)”

• “Privileges (Tasks)”

Änderungen an PAM für die Version Solaris 10

Ein neues pam_deny-Modul wurde mit dem Software Express-Pilotprogramm eingeführt und in Software Express 6/04 verbessert. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten. Das Modul kann zur Verweigerung des Zugriffs auf benannte PAM-Dienste verwendet werden. Das Modul pam_deny wird standardmäßig nicht eingesetzt. Weitere Informationen entnehmen Sie bitte der Manpage pam_deny(5) man page.

Solaris 10 weist die folgenden Änderungen an der PAM-Struktur auf.

• Das Modul pam_authtok_check erlaubt nun eine strikte Passwortprüfung mithilfe der neuen Tunables in der Datei /etc/default/passwd. Die neuen Tunables definieren:

  • Eine Liste durch Komma getrennter Wörterbuchdateien, die zur Überprüfung von Passwörtern anhand normaler Wörterbucheinträge herangezogen werden

  • Die mindestens erforderlichen Unterschiede zwischen einem alten und einem neuen Passwort

  • Die für ein neues Passwort erforderliche Mindestanzahl alphabetischer oder nicht-alphabetischer Zeichen

  • Die für ein neues Passwort erforderliche Mindestanzahl an Groß- oder Kleinbuchstaben

  • Die zulässige Anzahl aufeinander folgender gleicher Zeichen

  • Die für ein neues Passwort erforderliche Mindestanzahl an Zahlen

  • Ob Leerzeichen im neuen Passwort zulässig sind

• Das Modul pam_unix_auth implementiert die Kontosperre für lokale Benutzer. Die Kontosperre wird durch das Tunable LOCK_AFTER_RETRIES in /etc/security/policy.conf und den Schlüssel lock_after-retries in /etc/user_attr aktiviert.

• Es wurde ein neues binding-Steuerflag definiert. Wenn das PAM-Modul erfolgreich ist und keines der vorangehenden, mit dem Flag required gekennzeichneten Module fehlgeschlagen ist, überspringt PAM die verbleibenden Module, und die Authentifizierung wird erfolgreich abgeschlossen. Wird jedoch ein Fehler zurückgegeben, verzeichnet PAM das Scheitern eines erforderlichen Vorgangs und fährt mit der Abarbeitung des Stacks fort. Dieses Steuer-Flag ist in der Manpage pam.conf(4) dokumentiert.

• Das Modul pam_unix wurde entfernt und durch verschiedene Dienstmodule mit einem gleichwertigen oder umfassenderen Funktionsumfang ersetzt. Viele dieser Module wurden im System Solaris 9 neu eingeführt. Sehen Sie hier eine Liste der Ersatzmodule:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Der Funktionsumfang des Moduls pam_unix_auth wurde auf zwei Module aufgeteilt. Das Modul pam_unix_auth überprüft jetzt die Richtigkeit des eingegebenen Passworts für den jeweiligen Benutzer. Das neue Modul pam_unix_cred bietet Funktionen zum Einrichten von Berechtigungsinformationen für Benutzer.

• Neue Erweiterungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework. Lesen Sie auch Kerberos-Verbesserungen.

Änderungen in pam_ldap

Mit Ausnahme der Account Management-Funktion wurden mit Software Express 10/04 die folgenden Änderungen an pam_ldap eingeführt. Diese Verwaltungsfunktion wurde mit dem Software Express-Pilotprogramm sowie Solaris 9 12/02 eingeführt. Weitere Informationen zu diesen Änderungen entnehmen Sie bitte der Man Page pam_ldap(5).

• Die zuvor unterstützten Optionen use_first_pass und try_first_pass sind ab dieser Version Solaris 10 veraltet und werden werden nicht mehr benötigt. Diese Optionen können aus pam.conf gelöscht werden, anderenfalls werden sie stillschweigend ignoriert.

• Eine Aufforderung zur Eingabe von Passwörtern muss vorhanden sein, indem pam_authtok_get in den Authentifizierungs- und Passwortmodul-Stacks vor pam_ldap angeordnet wird, und indem pam_passwd_auth in den Stack passwd_service_auth aufgenommen wird.

• Das in früheren Versionen unterstützte Leistungsmerkmal zur Passwortaktualisierung wird in dieser Version durch die Verwendung von pam_authtok_store mit der Option server_policy ersetzt.

• Die Account Management-Funktion pam_ldap erhöht die Gesamtsicherheit des LDAP-Namen-Service. Im Einzelnen übt das Account Management folgende Funktionen aus:

  • Es ermöglicht die Verfolgung von Passwortalterung und Gültigkeitsdatum

  • Hindert Benutzer an der Auswahl zu einfacher oder zuvor bereits verwendeter Passwörter

  • Warnt Benutzer vor dem bevorstehenden Ablauf der Passwortgültigkeit

  • Es sperrt Benutzer nach wiederholt fehlgeschlagenen Anmeldeversuchen

  • Es verhindert, dass Benutzer außer den autorisierten Systemadministratoren initialisierte Konten deaktivieren

Eine saubere, automatisierte Aktualisierung kann für die Änderungen in der vorigen Liste nicht angeboten werden. Folglich kann eine Aktualisierung auf Solaris 10 oder eine neuere Version die vorhandene Datei pam.conf nicht automatisch aktualisieren, um die Änderungen an pam_ldap widerzuspiegeln. Sollte die vorhandene pam.conf-Datei eine pam_ldap-Konfiguration enthält, werden Sie von der CLEANUP-Datei nach der Aktualisierung informiert. Prüfen Sie die Datei pam.conf und nehmen Sie, falls erforderlich, Änderungen vor.

Weitere Informationen entnehmen Sie bitte den folgenden Man Pages:

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Weitere Informationen zu den Namen- und Verzeichnis-Services von Solaris finden Sie im Dokument System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . Informationen über die Sicherheitsfunktionen von Solaris finden Sie im Dokument System Administration Guide: Security Services .

Verbesserungen an der Solaris Secure Shell

Die Beschreibung dieser Leistungsmerkmals wurde mit Software Express 10/04 eingeführt.

Mit Solaris 10 wurden die folgenden Verbesserungen an der Solaris Secure Shell eingeführt:

• Die Solaris Secure Shell basiert auf OpenSSH 3.5p1. Die Solaris-Implementierung enthält darüber hinaus auch Leistungsmerkmale und behobene Probleme von Versionen vor OpenSSH 3.8p1.

• Solaris Secure Shell unterstützt jetzt die Verwendung der GSS-API für Benutzer und eine Host-Authentifizierung mit Kerberos V.

  Die PAM-Unterstützung wurde verbessert, so auch die Unterstützung für die Passwortalterung.

• Der Standardwert für das X11Forwarding in der Konfigurationsdatei /etc/ssh/sshd lautet "yes".

• Die Codes ARCFOUR und AES128-CTR sind jetzt verfügbar. ARCFOUR ist auch unter dem Namen RC4 bekannt. Beim AES-Cipher handelt es sich um AES im Zählermodus.

• Informationen zu weiteren Verbesserungen finden Sie in der Beschreibung für sshd Dämon und /etc/default/login.

Weitere Informationen zur Sicherheit im Betriebssystem Solaris 10 entnehmen Sie bitte dem Dokument System Administration Guide: Security Services .

OpenSSL- und OpenSSL PKCS#11-Modul

Diese Verbesserungen wurden mit Software Express 8/04 eingeführt.

Diese Version des Betriebssystems Solaris enthält die OpenSSL-Bibliotheken und -Befehle in /usr/sfw.

Außerdem umfasst sie eine OpenSSL-Modulschnittstelle zu PKCS#11. Jetzt können OpenSSL-Nutzer auf die Hardware und Software Cryptographic Provider aus Solaris Cryptographic Framework zugreifen.

Aufgrund der kryptografischen Importbeschränkungen in einigen Ländern sind die symmetric key cryptographic-Algorithmen auf 128–Bit beschränkt, sofern das SUNWcry-Package nicht installiert ist. Das SUNWcry-Package ist in der Solaris-Software nicht enthalten. Es ist jedoch als ein separater Download erhältlich.

sshd Dämon und /etc/default/login

Dieses Leistungsmerkmal wurde mit Software Express 10/04 eingeführt.

Der sshd-Dämon verwendet die Variablen in /etc/default/login und den Befehl login. Die Variablen in etc/default/login können durch Werte in der Datei sshd_config überschrieben werden.

Weitere Informationen finden Sie unter „Solaris Secure Shell and Login Environment Variables“ im Dokument System Administration Guide: Security Services . Weitere Informationen entnehmen Sie bitte der Manpage sshd_config(4).

Neue Passwortoptionen für Nonlogin- und gesperrte Konten

Dieses Leistungsmerkmal wurde mit Software Express 10/04 eingeführt.

Der Befehl passwd wurde um die beiden Optionen -N und - u erweitert. Mit der Option -N wird ein Passworteintrag für ein Nonlogin-Konto erstellt. Diese Option eignet sich speziell für Konten, bei denen keine Anmeldung stattfinden soll, über die aber die Ausführung von cron-Jobs möglich sein muss. Die Option -u gibt ein zuvor gesperrtes Konto wieder frei.

Weitere Informationen entnehmen Sie bitte der Manpage passwd(1).

Option -setcond für den Befehl auditconfig wurde entfernt

Dieses Leistungsmerkmal wurde mit Software Express 10/04 eingeführt.

Die Option -setcond für den Befehl auditconfig wurde entfernt. Verwenden Sie den Befehl audit - t, um die Prüfungen vorübergehend zu deaktivieren. Mit dem Befehl audit - s starten Sie die Prüfungen neu.

Prüfrichtlinie perzone

Diese Verbesserungen wurden mit Software Express 8/04 eingeführt.

Mit der Prüfrichtlinie perzone können nicht-globale Zonen einzeln geprüft werden. Dabei wird in jeder Zone ein separater Prüf-Dämon ausgeführt. Der Dämon verwendet speziell für die Zone geltende Prüfkonfigurationsdateien. Auch die Prüfwarteschlange gilt speziell für die Zone. In der Standardeinstellung ist die Richtlinie deaktiviert.

Weitere Informationen entnehmen Sie bitte den Man Pages auditd(1M) und auditconfig(1M).

Kerberos-Verbesserungen

Diese Kerberos-Verbesserungen sind in Solaris 10 enthalten. Einige Verbesserungen wurden bereits mit früheren Software Express-Versionen eingeführt.

• Für Fernanwendungen wie ftp, rcp, rdist, rlogin, rsh und telnet steht Kerberos-Protokollunterstützung zur Verfügung. Weitere Informationen finden Sie in den Manpages für die einzelnen Befehle bzw. Daemons und in der Manpage krb5_auth_rules(5).

• Die Principal-Datenbank für Kerberos muss nicht mehr jedes Mal vollständig übertragen werden, sondern kann inkrementell aktualisiert werden. Die inkrementelle Übertragung bietet u. a. die folgenden Vorteile:

  • Bessere Konsistenz der Datenbanken auf den verschiedenen Servern

  • Geringerer Ressourcenbedarf, z. B. an Netzwerk-und CPU-Kapazität

  • Bedeutend schnellere Übertragung von Aktualisierungen

  • Automatisiertes Übertragungsverfahren

• Ein neues Skript assistiert automatisch bei der Konfiguration von Kerberos-Clients. Mit dessen Hilfe können Administratoren schnell und problemlos Kerberos-Clients einrichten. Eine Beschreibung von Verfahren, bei denen das neue Skript zum Einsatz kommt, finden Sie in Kapitel 22, „Configuring the Kerberos Service (Tasks)“ im Dokument System Administration Guide: Security Services . Weitere Informationen entnehmen Sie bitte der Man Page kclient(1M).

• Der Kerberos-Dienst wurde um mehrere neue Verschlüsselungstypen erweitert. Diese sorgen für mehr Sicherheit und eine verbesserte Kompatibilität mit anderen Kerberos-Implementierungen, die diese Verschlüsselungstypen unterstützen. In der Man Page mech(4) sind sämtliche Verschlüsselungstypen beschrieben. Weitere Informationen finden Sie unter „Using Kerberos Encryption Types“ im Dokument System Administration Guide: Security Services Die Verschlüsselungstypen weisen folgende Merkmale auf:

  • Der AES-Verschlüsselungstyp kann für eine besonders schnelle, besonders sichere Verschlüsselung von Kerberos-Sitzungen eingesetzt werden. Die Verwendung von AES wird durch das Crypographic Framework aktiviert.

  • ARCFOUR-HMAC sorgt für eine bessere Kompatibilität mit anderen Kerberos-Versionen.

  • Triple DES (3DES) mit SHA1 erhöht die Sicherheit. Außerdem bewirkt dieser Verschlüsselungstyp eine bessere direkte Kommunikation mit anderen Kerberos-Implementierungen, die diesen Verschlüsselungstyp unterstützen.

• Die KDC-Software und der Befehl kinit unterstützen nun das TCP-Netzwerkprotokoll. Das Ergebnis dieser Neuerung sind ein robusterer Betrieb und eine verbesserte direkte Kommunikation mit anderen Kerberos-Implementierungen. KDC “überwacht” nun sowohl die traditionellen UDP- als auch die TCP-Ports und kann folglich auf Anforderungen in beiden Protokollen reagieren. Anforderungen des Befehls kinit an KDC werden zunächst mit dem Protokoll UDP gesendet. Schlägt dies fehl, versucht es der Befehl kinit per TCP.

• Mit den Befehlen kinit , klist und kprop wurde die KDC-Software um IPv6-Unterstützung erweitert. IPv6-Adressen werden standardmäßig unterstützt. Hierfür müssen keine Konfigurationsparameter geändert werden.

• Mehrere Unterbefehle des Befehls kadmin wurden um die Option -e erweitert. Mit dieser neuen Option kann bei der Erstellung von Hauptelementen (Principals) der Verschlüsselungstyp ausgewählt werden. Näheres hierzu entnehmen Sie bitte der Manpage kadmin(1M)

• Erweiterungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework. Weitere Informationen entnehmen Sie bitte der Manpage pam_krb5(5).

• Es besteht Unterstützung für die automatische Erkennung von Kerberos-KDC, admin server, kpasswd-Server und auf DNS-Abfragen basierenden Zuordnungen von Host- oder Domänennamen zu Bereichen. Durch diese Unterstützung fallen einige der zur Installation eines Kerberos-Client erforderlichen Schritte weg. Anstatt eine Konfigurationsdatei lesen zu müssen, kann der Client einen KDC-Server mithilfe von DNS ausfindig machen. Weitere Informationen entnehmen Sie bitte der Man Page krb5.conf(4).

• Eine weitere Neuerung stellt das PAM-Modul pam_krb5_migrate dar. Das neue Modul unterstützt die automatische Übernahme von Benutzern, die noch nicht über ein Kerberos-Konto verfügen, in den lokalen Kerberos-Bereich. Weitere Informationen entnehmen Sie bitte der Manpage pam_krb5_migrate(5).

• Die Datei ~/.k5login kann jetzt mit den GSS-Anwendungen ftp und ssh eingesetzt werden. In der Man Page krb5_auth_rules(5) erfahren Sie Näheres.

• Das Dienstprogramm kproplog wurde aktualisiert. Es gibt jetzt alle Attributnamen pro Protokolleintrag aus. Weitere Informationen entnehmen Sie bitte der Manpage kproplog(1M).

• Dank einer neuen Konfigurationsdateioption lässt sich die strikte TGT-Überprüfungsfunktion auf Bereichsbasis optional konfigurieren. Weitere Informationen entnehmen Sie bitte der Man Page krb5.conf(4).

• Erweiterungen der Dienstprogramme zum Ändern von Passwörtern ermöglichen dem Solaris Kerberos V5-Administrationsserver die Annahme von Passwortänderungsanforderungen von Solaris-fremden Clients. Näheres hierzu entnehmen Sie bitte der Manpage kadmin(1M)

• Der Wiedergabe-Cache wird jetzt standardmäßig nicht mehr in arbeitsspeicherabhängigen Dateisystemen gespeichert, sondern dauerhaft unter /var/krb5/rcache/. Dieser neue Speicherort bietet Schutz vor Wiedergaben bei Systemneustarts. Die Leistung des rcache-Codes wurde verbessert. Da sich der Wiedergabe-Cache jetzt aber im Dauerspeicher befindet, kann es sein, dass er trotzdem insgesamt langsamer arbeitet.

• Der Wiedergabe-Speicher kann jetzt für die Speicherung in Dateien oder ausschließlich im Arbeitsspeicher konfiguriert werden. Weitere Informationen zu Umgebungsvariablen, die hinsichtlich der Typen und Speicherpositionen für Schlüsseltabelle und Berechtigungs-Cache konfiguriert werden können, finden Sie in der Man Page krb5envvar(5).

• Der Kerberos-GSS-Mechanismus kommt nunmehr ohne GSS-Berechtigungstabelle aus. Lesen Sie außerdem die Man Pages gsscred(1M), gssd(1M) und gsscred.conf(4).

• Die Kerberos-Dienstprogramme kinit und ktutil beruhen neuerdings auf MIT Kerberos Version 1.2.1. Durch diese Änderung wurde der Befehl kinit um neue Optionen und der Befehl ktutil um neue Unterbefehle bereichert. Weitere Informationen entnehmen Sie bitte den Manpages kinit(1) und ktutil(1).

• Solaris Kerberos Key Distribution Center (KDC) baut jetzt auf MIT Kerberos Version 1.2.1 auf. KDC verwendet nun standardmäßig eine btree-basierte Datenbank, die zuverlässiger ist als die aktuelle Hash-basierte Datenbank. Weitere Informationen entnehmen Sie bitte der Manpage kdb5_util(1M) Für Benutzer von Solaris 9 wurde diese Änderung mit Solaris 9 12/03 eingeführt.

TCP Wrapper für rpcbind

Dieses Leistungsmerkmal wurde mit Solaris Express 4/04 eingeführt.

Der Befehl rpcbind wurde um Unterstützung für TCP-Wrapper erweitert. Durch diese Unterstützung können Administratoren rpcbind -Aufrufe auf ausgewählte Hosts beschränken. Darüber hinaus lassen sich sämtliche rpcbind-Aufrufe in einem Protokoll verzeichnen.

Weitere Informationen entnehmen Sie bitte der Manpage rpcbind(1M).

Prüf-Token und Prüfrichtlinienoption zonename

Die Partionierungstechnologie Solaris Zones wurde mit Software Express 2/04 eingeführt. Lesen Sie auch Software-Partitionierungstechnologie Solaris Zones. Auch die hier beschriebenen Verbesserungen an zonename wurden mit Software Express 2/04 eingeführt.

Das Prüf-Token zonename verzeichnet den Namen der Zone, in der ein Prüfereignis stattgefunden hat. Mit der Prüfrichtlinienoption zonename audit policy wird für alle Zonen festgelegt, ob das Token zonename in die Prüfdatensätze aufzunehmen ist. Wenn sich die Kriterien für die Prüfklassenvorauswahl zwischen verschiedenen nicht-globalen Zonen unterscheiden, sollten Sie die Prüfdatensätze nach einzelnen Zonen analysieren. Die Prüfrichtlinie zonename ermöglicht es, Prüfdatensätze je Zone nachträglich auszuwählen.

Weitere Informationen finden Sie unter “Auditing and Solaris Zones” im Dokument System Administration Guide: Security Services .

Weitere Informationen entnehmen Sie bitte den Manpages audit.log(4), auditconfig(1M) und auditreduce(1M). Weitere Informationen finden Sie unter “Using Solaris Auditing in Zones” im Dokument Systemverwaltungshandbuch: Solaris Container – Ressourcenverwaltung und Solaris Zones.

Benutzerbefehle für Solaris Cryptographic Framework

Dieses Leistungsmerkmal wurde mit Software Express 1/04 eingeführt.

Die Befehle digest, mac und encrypt bieten jetzt eine Option zum Auflisten der für jeden Befehl verfügbaren Algorithmen. Bei den Befehlen mac und encrypt ist in der Ausgabe die von den einzelnen Algorithmen zugelassene Schlüssellänge enthalten. Darüber hinaus wurde die Option - I <IV-file> der Befehle encrypt und decrypt entfernt.

Weitere Informationen finden Sie in Kapitel 14 unter “Solaris Cryptographic Framework (Tasks)” und “Protecting Files With the Solaris Cryptographic Framework” im Dokument System Administration Guide: Security Services .

Nähere Informationen entnehmen Sie bitte den Man Pages encrypt(1), digest(1) und mac(1).

IKE-Konfigurationsparameter

Dieses Leistungsmerkmal wurde mit Software Express 1/04 eingeführt.

Zur Datei /etc/inet/ike/config wurden Parameter für die wiederholte Übertragung und für Datenpaket-Zeitüberschreitungen hinzugefügt. Mit diesen Parametern können Administratoren die IKE Phase 1 (Main Mode)-Aushandlung einstellen. Diese Einstellung ermöglicht Solaris IKE die direkte Kommunikation mit Plattformen, die eine andere Implementierung des IKE-Protokolls verwenden. Außerdem können Administratoren diese Parameter zur Anpassung an Netzwerkinterferenzen und hohes Datenaufkommen im Netzwerk verwenden.

Eine ausführliche Beschreibung der Parameter entnehmen Sie bitte der Manpage ike.config(4).

Simple Authentication and Security Layer

Dieses Leistungsmerkmal wurde mit Software Express 12/03 eingeführt.

Mit SASL stehen Entwicklern von Anwendungen und gemeinsam genutzten Bibliotheken Schnittstellen zur Verfügung, mit denen sie eine Authentifizierung und Datenintegritätsprüfungen sowie eine Verschlüsselung für verbindungsbasierte Protokolle bereitstellen können.

Weitere Informationen finden Sie unter SASL (Simple Authentication and Security Layer) für Entwickler.

Siehe auch Kapitel 17, “Using SASL”, im Dokument System Administration Guide: Security Services .

Ausgabe der Prüfzeit im ISO 8601-Format

Dieses Leistungsmerkmal wurde mit Software Express 12/03 eingeführt.

Die Datei- und Header-Token in Prüfdatensätzen geben die Zeit nun im ISO 8601-Format an. Dieses Beispiel zeigt eine Ausgabe des Befehls praudit für das Datei-Token:

Altes Datei-Token:

file,Mon Oct 13 11:21:35 PDT 2003, + 506 msec, /var/audit/20031013175058.20031013182135.machine1

Neues Datei-Token:

file,2003-10-13 11:21:35.506 -07:00, /var/audit/20031013175058.20031013182135.machine1

Altes Header-Token:

header,173,2,settppriv(2),,machine1, Mon Oct 13 11:23:31 PDT 2003, + 50 msec

Neues Header-Token:

header,173,2,settppriv(2),,machine1, 2003-10-13 11:23:31.050 -07:00

Auch die XML-Ausgabe hat sich geändert. So ist beispielsweise das Datei-Token in der Ausgabe des Befehls praudit -x folgendermaßen formatiert:

<file iso8601="2003-10-13 11:21:35.506 -07:00">
/var/audit/20031013175058.20031013182135.machine1</file>

Zur Anpassung an diese Änderung kann es erforderlich sein, Skripten oder Tools, die mit der Ausgabe von praudit arbeiten, zu aktualisieren.

Weitere Informationen finden Sie in Kapitel 27 unter “Solaris Auditing (Overview)” und “Changes to Solaris Auditing for the Solaris 10 Release” im Dokument System Administration Guide: Security Services .

Basic Audit and Reporting Tool

Dieses Leistungsmerkmal wurde mit Software Express 11/03 eingeführt.

Das Befehlszeilendienstprogramm Basic Audit and Reporting Tool (BART) ermöglicht es OEMs, erfahrenen Benutzern sowie Systemadministratoren, den Softwareinhalt eines Zielsystems auf Dateibasis zu überprüfen. Das Dienstprogramm eignet sich zum Abrufen von Informationen über die auf einem System installierte Software. Außerdem können Sie mit BART installierte Systeme oder den Inhalt eines Systems zu verschiedenen Zeitpunkten vergleichen.

Weitere Informationen finden Sie in Kapitel 5, “Using the Basic Audit Reporting Tool (Tasks)”, im Dokument System Administration Guide: Security Services .

Weitere Informationen entnehmen Sie bitte den Manpages bart_manifest(4), bart_rules(4) und bart(1M).

IPsec und Solaris Cryptographic Framework

Dieses Leistungsmerkmal wurde mit Software Express 9/03 eingeführt.

IPsec nutzt anstatt der eigenen Verschlüsselungs- und Authentifizierungsmodule das Solaris Cryptographic Framework. Die Module sind für die SPARC-Plattform optimiert. Darüber hinaus stehen das neue Befehlszeilendienstprogramm ipsecalgs sowie APIs zum Abfragen der Liste unterstützter IPsec-Algorithmen und anderer IPsec-Eigenschaften zur Verfügung.

Weitere Informationen entnehmen Sie bitte der Manpage ipsecalgs(1M).

Weitere Informationen finden Sie im Dokument Systemverwaltungshandbuch: IP Services, in Kapitel 18 unter “IP Security Architecture (Overview)” und “Authentication and Encryption Algorithms in IPsec.”

Solaris Cryptographic Framework für Systemadministratoren

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Solaris Cryptographic Framework stellt Anwendungen in der Solaris-Umgebung verschiedene Kryptographiedienste zur Verfügung. Dabei legt der Systemadministrator mit dem Befehl cryptoadm fest, welche Verschlüsselungsalgorithmen verwendet werden dürfen. Der Befehl cryptoadm ermöglicht folgende Vorgänge:

• Verwalten der verfügbaren Anbieter kryptographischer Dienste

• Festlegen kryptographischer Sicherheitsrichtlinien, z. B. zum Deaktivieren von Algorithmen eines bestimmten Anbieters

Die Struktur umfasst Plugins für die Algorithmen AES, DES/3DES, RC4, MD5, SHA-1, DSA, RSA und Diffie-Hellmans. Es können nach Bedarf Plugins hinzugefügt oder entfernt werden.

Die Befehle encrypt, decrypt, digest und mac arbeiten mit Verschlüsselungsalgorithmen dieser Struktur.

Weitere Informationen hierzu finden Sie in Kapitel 13, “Solaris Cryptographic Framework (Overview)”, im Dokument System Administration Guide: Security Services .

Siehe auch die folgenden Manpages:

• cryptoadm(1M)

• kcfd(1M)

• libpkcs11(3LIB)

• pkcs11_kernel(5)

• pkcs11_softtoken(5)

Entferntes Prüfprotokoll

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

In den Solaris-Versionen können Sie Prüfereignisse nicht nur im binären Prüfprotokoll, sondern auch in syslog aufzeichnen lassen.

Durch die Generierung von syslog-Daten haben Sie die Möglichkeit, die in zahlreichen Solaris- und anderen Umgebungen (einschließlich Workstation, Server, Firewall und Router) für syslog-Meldungen verfügbaren Verwaltungs- und Analysetools zu verwenden. Indem Sie Prüfmeldungen mit syslog.conf an entfernte Speicherpositionen leiten, schützen Sie Protokolldaten vor der Manipulation oder gar dem Löschen durch Angreifer. Die syslog-Option bietet jedoch lediglich eine Zusammenfassung der Informationen im Prüfdatensatz. Außerdem ist zu bedenken, dass auf einem entfernten System gespeicherte syslog-Daten potenziell durch Netzwerkangriffe wie Denial-of-Service-Angriffe oder falsche Quelladressen gefährdet sind.

Weitere Informationen hierzu finden Sie in Kapitel 27 unter “Solaris Auditing (Overview)” und “Audit Files” im Dokument System Administration Guide: Security Services .

Siehe auch die folgenden Manpages:

• audit(1M)

• audit.log(4)

• audit_control(4)

• audit_syslog(5)

• syslog(3C)

• syslog.conf(4)

Verbesserungen des FTP-Servers

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Der FTP-Server wurde hinsichtlich der Skalierbarkeit und der Übertragungsprotokollierung verbessert:

• Die Funktion sendfile() wird für binäre Download-Vorgänge verwendet.

• Die Datei ftpaccess bietet Unterstützung für neue Funktionen:

  • flush-wait regelt das Verhalten am Ende eines Downloads oder einer Verzeichnisauflistung.

  • ipcos legt die IP-Dienstklasse (Class of Service) für die Steuer- oder Datenverbindung fest.

  • passive ports kann so konfiguriert werden, dass der Kernel den TCP-Port auswählt, an dem eine Überwachung stattfindet.

  • quota-info dient zum Abrufen von Kontingentinformationenn.

  • recvbuf legt die Größe des Empfangspuffers (Upload) für binäre Übertragungen fest.

  • rhostlookup erlaubt bzw. verhindert die Abfrage des Namens des entfernten Host.

  • sendbuf legt die Größe des Sendepuffers (Download) für binäre Übertragungen fest.

  • xferlog format dient zum Anpassen des Formats für den Eintrag im Übertragungsprotokoll.

• Die neue Option -4 sorgt dafür, dass der FTP-Server einen IPv4-Socket nur dann auf Verbindungen überwacht, wenn er im Einbenutzermodus ausgeführt wird.

Der FTP-Client und der FTP-Server unterstützen jetzt Kerberos. Weitere Informationen finden Sie in der Man Page ftp(4) und in “Kerberos User Commands” im Dokument System Administration Guide: Security Services.

Des Weiteren bieten ftpcount und ftpwho jetzt Unterstützung für die Option -v. Diese zeigt Benutzerzähler und Prozessinformationen für FTP-Serverklassen an, die in ftpaccess-Dateien für virtuelle Hosts definiert sind.

Weitere Informationen zu diesen Änderungen finden Sie in den folgenden Man Pages:

• in.ftpd(1M)

• ftpaccess(4)

• ftpcount(1)

• ftpwho(1)

• sendfile(3EXT)

FTP-Client

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Der FTP-Client in der Solaris-Software wurde geändert. Ein mit einem Solaris FTP-Server verbundener Solaris FTP-Client listet bei Ausführung des Befehls ls standardmäßig sowohl Verzeichnisse als auch einfache Dateien auf. Wenn der FTP-Server im Betriebssystem Solaris nicht ausgeführt wird, erfolgt möglicherweise keine Auflistung von Verzeichnissen.

Damit das Solaris-Standardverhalten für die Verbindung zu anderen als zu Solaris-FTP-Servern hergestellt werden kann, besteht die Möglichkeit, die Datei /etc/default/ftp auf den einzelnen Solaris-Clients zu bearbeiten. Für einzelne Benutzer lässt sich die Änderung mithilfe der Umgebungsvariablen FTP_LS_SENDS_NLST vornehmen.

Weitere Informationen entnehmen Sie bitte der Man Page ftp(4).

Der FTP-Client und der FTP-Server unterstützen jetzt Kerberos. Weitere Informationen finden Sie in der Man Page ftp(4) und in “Kerberos User Commands” im Dokument System Administration Guide: Security Services.

Internet Key Exchange (IKE)-Schlüsselspeicherung auf der Sun Crypto Accelerator 4000-Karte

Diese Funktion wurde mit dem Software Express-Pilotprogramm sowie Solaris 9 12/03 eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

IKE kann nun sowohl in IPv6- als auch in IPv4-Netzwerken eingesetzt werden. Informationen zu Schlüsselwörtern, die nur für die IPv6-Implementierung gelten, finden Sie in den Man Pages ifconfig(1M) und ike.config(4).

Ist eine Sun Crypto Accelerator 4000-Karte angeschlossen, können rechenintensive Operationen durch IKE auf diese Karte ausgelagert werden. Das Betriebssystem wird dadurch für andere Vorgänge verfügbar. Außerdem kann IKE auf dieser Karte öffentliche und private Schlüssel sowie öffentliche Zertifikate speichern. Die Speicherung von Schlüsseln auf separater Hardware stellt eine zusätzliche Sicherheit dar.

Weitere Informationen entnehmen Sie bitte der Manpage ikecert(1M).

Lesen Sie auch die folgenden Abschnitte im Dokument Systemverwaltungshandbuch: IP Services:

• “IP Security Architecture (Overview)”

• “Internet Key Exchange (Overview)”

• “IKE and Hardware Storage”

• “Configuring IKE (Tasks)”

• “Configuring IKE to Find Attached Hardware”

IKE-Hardwarebeschleunigung

Diese Funktion wurde mit dem Software Express-Pilotprogramm sowie Solaris 9 4/03 eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Vorgänge mit öffentlichen Schlüsseln (public keys) im Rahmen von IKE lassen sich mit Karten vom Typ Sun Crypto Accelerator 1000 und Sun Crypto Accelerator 4000 beschleunigen. Die Abwicklung der Operationen wird ganz der Karte überlassen. Diese Übernahme bewirkt eine schnellere Verschlüsselung und eine Entlastung der Betriebssystemressourcen.

Informationen zu IKE finden Sie in folgenden Abschnitten des Dokuments Systemverwaltungshandbuch: IP Services:

• “Configuring IKE to Find Attached Hardware”

• “Internet Key Exchange (Overview)”

• “IKE and Hardware Acceleration”

• “Configuring IKE (Tasks)”

• “Configuring IKE to Find Attached Hardware”

Verbesserung von ipseckey

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Netzwerkadministratoren, auf deren Systemen IPsec oder IKE installiert ist, erhalten mit dem ipseckey-Parser verständlichere Hilfe. Der Befehl ipseckey monitor versieht jetzt jedes Ereignis mit einem Zeitstempel.

Weitere Informationen entnehmen Sie bitte der Man Page ipseckey(1M).

Übertragung von Berechtigungsnachweisen über Loopback-Verbindungen

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Eine Neuerung dieser Solaris-Version besteht in der abstrakten Darstellung der Berechtigungsnachweise eines Prozesses durch ucred_t *. Diese Berechtigungsnachweise lassen sich durch Verwendung von door_ucred() in Tor-Servern und getpeerucred () für Loopback-Verbindungen abrufen. Die Berechtigungsnachweise können mit recvmsg() empfangen werden.

Weitere Informationen entnehmen Sie bitte der Man Page socket.h(3HEAD).

Header-Token für Prüfungen enthält Host-Angabe

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Das Header-Token in Prüfdatensätzen wurde um die Angabe der Hostnamen erweitert.

Dies ist die Anzeige des alten Haeders:

header,131,4,login - local,,Wed Dec 11 14:23:54 2002, + 471 msec

Der neue, erweiterte Header zeigt folgende Informationen an:

header,162,4,login - local,,example-hostname,
Fri Mar 07 22:27:49 2003, + 770 msec

Zur Anpassung an diese Änderung kann es erforderlich sein, angepasste Skripten oder Tools, die mit der Ausgabe von praudit arbeiten, zu aktualisieren.

Weitere Informationen finden Sie in Kapitel 30 unter “Solaris Auditing (Reference)” und “header Token” im System Administration Guide: Security Services.

Verbesserungen der Prüffunktionen

Diese Funktion wurde mit dem Software Express-Pilotprogramm sowie Solaris 9 8/03 eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Die Verbesserungen der Prüffunktionen in der Solaris-Software reduzieren die Störungen im Prüfpfad und ermöglichen den Einsatz von XML-Scripting für eine Analyse des Pfads. Dabei handelt es sich um folgende Verbesserungen:

• Öffentliche Dateien werden nicht mehr auf schreibgeschützte Ereignisse geprüft. Das Richtlinienflag public für den Befehl auditconfig regelt die Prüfung von öffentlichen Dateien. Wenn öffentliche Objekte nicht geprüft werden, verkürzt sich der Prüfpfad erheblich. Etwaige Versuche, auf wichtige Dateien zuzugreifen, lassen sich folglich leichter überwachen.

• Für den Befehl praudit steht XML als zusätzliches Ausgabeformat zur Verfügung. XML bedeutet, dass die Ausgabe auch in einem Browser gelesen und als Quelle für das XML-Scripting zur Berichterstellung genutzt werden kann. Siehe auch Manpage praudit(1M).

• Der Standardsatz der Prüfklassen wurde umstrukturiert. Metaklassen bieten Unterstützung für spezifischere Prüfklassen (audit classes). Siehe die Manpage audit_class(4).

• Die Verwendung der Tastenkombination Stop-A wird durch den Befehl bsmconv nicht mehr deaktiviert. Das Stop-A-Ereignis wird nun einer Sicherheitsprüfung unterzogen.

Weitere Informationen entnehmen Sie bitte den folgenden Abschnitten im Dokument System Administration Guide: Security Services :

• “Solaris Auditing (Reference)”

• “Definitions of Audit Classes”

• “praudit Command”

• “Solaris Auditing (Overview)”

• “Audit Terminology and Concepts”

• “Changes to Solaris Auditing for the Solaris 10 Release”

Neues Prüf-Token path_attr

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Das Prüf-Token path_attr enthält Zugriffspfadinformationen für ein Objekt. Der Zugriffspfad gibt die Folge von Attributdateiobjekten unterhalb des Pfad-Token-Objekts an. Systemaufrufe wie openat() greifen auf Attributdateien zu. Weitere Informationen zu erweiterten Dateiattributen entnehmen Sie bitte der Man Page fsattr(5).

Das Token path_attr weist drei Felder auf:

• Ein Feld mit der Token-ID, die dieses Token als path_attr -Token ausweist.

• Einen Zähler, der die Anzahl der Abschnitte von Attributdateipfaden darstellt

• Mindestens eine auf Null endende Zeichenkette

Der Befehl praudit zeigt das path_attr-Token wie folgt an:

path_attr,1,attr_file_name

Weitere Informationen hierzu entnehmen Sie bitte dem Kapitel 30, “Solaris Auditing (Reference)” unter “path_attr Token” im Dokument System Administration Guide: Security Services .

Überprüfung mit Passwort-History

Dieses Leistungsmerkmal wurde mit dem Software Express-Pilotprogramm eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Für in lokalen Dateien definierte Anmeldekonten kann eine Passwort-History mit bis zu 26 Passwortänderungen aktiviert werden. Wenn ein Benutzer sein Passwort in eines der Passwörter abzuändern versucht, die in der History enthalten sind, schlägt dieser Versuch fehl. Auch Anmeldenamen können geprüft werden.

Nähere Informationen entnehmen Sie bitte der Man Page passwd(1).

Verbesserte crypt()-Funktion

Diese Funktion wurde mit dem Software Express-Pilotprogramm sowie Solaris 9 12/02 eingeführt. Dieses Leistungsmerkmal ist im Release Solaris 10 3/05 enthalten.

Durch die Passwortverschlüsselung werden Passwörter vor dem Ausspähen geschützt. Die Software stellt nun drei leistungsfähige Verschlüsselungsmodule zur Verfügung:

• Eine mit BSD-Systemen (Berkeley Software Distribution) kompatible Version von Blowfish

• Eine mit BSD- und Linux-Systemen kompatible Version von Message Digest 5 (MD5)

• Eine stärkere Version von MD5, die mit anderen Solaris-Systemen kompatibel ist.

Wie Sie Ihre Benutzerkennwörter mit diesen neuen Verschlüsselungsmodulen schützen können, erfahren Sie in den nachfolgend aufgeführten Abschnitten des Dokuments System Administration Guide: Security Services :

• “Controlling Access to Systems (Tasks)”

• “Managing Machine Security (Overview)”

• “Changing the Default Algorithm for Password Encryption”

Weitere Informationen zur Stärke von Modulen entnehmen Sie bitte den Manpages crypt_bsdbf(5), crypt_bsdmd5(5) und crypt_sunmd5(5).