Verbesserte Sicherheitsfunktionen

Die folgenden Sicherheitsfunktionen sind neu in der Version Solaris 10 1/06. Informationen zu den Sicherheitsfunktionen, die mit Solaris 10 3/05 eingeführt wurden, finden Sie unter Verbesserte Sicherheitsfunktionen.

SMTP zur Nutzung von Sicherheitsfunktionen der Transportschicht einstellen

Diese Verbesserung ist in Solaris Express 8/05 und Solaris 10 1/06 neu.

Das Simple Mail Transfer Protocol (SMTP) kann die in in sendmail-Version 8.13 integrierten Sicherheitsfunktionen der Transportschicht (Transport Layer Security, TLS) nutzen. Wenn diese Funktion aktiviert ist, läuft der Datenverkehr von SMTP-Servern mit dem Internet auf verschlüsselter und authentifizierter Basis ab. Somit werden Lausch- und Hackerangriffe verhindert.

Weitere Informationen entnehmen Sie bitte dem Dokument System Administration Guide: Network Services .

Metaslot im Cryptographic Framework

Dieses Leistungsmerkmal wurde mit Solaris 10 1/06 sowie Solaris Express 2/05 eingeführt. Es ist sowohl für Systemadministratoren als auch für Software-Entwickler von Belang.

Der Metaslot ist eine Komponente, die in der Bibliothek libpkcs11.so von Solaris Cryptographic Framework enthalten ist . Mit Metaslot-Software kann eine Anwendung, für die Verschlüsselung erforderlich ist, die zutreffenden Kryptographieanforderungen angeben. Anhand dieser Angaben wird der am besten geeignete Krytographiemechanismus zur Verfügung gestellt, der im System vorhanden ist. Der Metaslot fungiert als einzelner, virtueller Slot, der die Fähigkeiten aller in dieser Struktur installierten Tokens und Slots zusammenfasst. Der Metaslot ermöglicht es einer Anwendung, über einen einzigen Slot eine transparente Verbindung mit einem beliebigen, verfügbaren Kryptographiedienst herzustellen.

Der Metaslot ist automatisch aktiviert und kann vom Systemadministrator bei Bedarf explizit deaktiviert werden.

Wenn eine Anwendung einen Kryptographiedienst benötigt, verweist der Metaslot auf den am besten geeigneten Slot. Hierdurch wird der Prozess zur Slotauswahl vereinfacht. In einigen Fällen wird unter Umständen ein anderer Slot benötigt. In diesem Fall muss die Anwendung explizit einen getrennten Suchvorgang durchführen.

Weitere Informationen zur Verschlüsselungsstruktur entnehmen Sie bitte dem Dokument Solaris Security for Developers Guide . Siehe auch System Administration Guide: Security Services .

Verbesserungen für IKE

Diese Sicherheitsverbesserungen sind in Solaris 10 1/06 und Solaris Express 2/05 neu.

IKE unterstützt die in den Normen RFC 3947 und RFC 3948 beschriebenen NAT-Navigationsfunktionen vollständig. IKE-Operationen nutzen die PKCS #11-Bibliothek des Solaris Cryptographic Framework (SCF), was die Leistung verbessert. Das Cryptographic Framework stellt einen softtoken-Schlüsselspeicher für Anwendungen zur Verfügung, die den Metaslot nutzen. Wenn IKE den Metaslot verwendet, können die Schlüssel auf einer zugehörigen Karte oder im softtoken -Schlüsselspeicher gespeichert werden.

Weitere Informationen zu IKE können Sie im Dokument Systemverwaltungshandbuch: IP Services nachlesen .

Neuer Befehl für embedded_su

Diese Erweiterung ist neu im Release Solaris 10 1/06.

Dieses Release enthält den neuen Befehl embedded_su. Dieser Befehl erweitert Programme um „su-artige” Funktionalität. Damit können grafische Benutzeroberflächen vom Benutzer Authentifizierungsdaten abfragen, sodass er/sie Operationen unter einem anderen Benutzernamen ausführen kann. Die Funktionalität dieses Befehls entspricht der des Befehls su, sodass keine Sicherheitsrisiken auftreten. Systemadministratoren, die das Verhalten des Befehls su mithilfe der Datei /etc/pam.conf anpassen, können zur Datei /etc/pam.conf wahlweise Einträge hinzufügen, um das Verhalten des Befehls embedded_su zu kontrollieren.

Ein Beispiel finden Sie in der Manpage embedded_su(1M).