Mejoras en la seguridad

El software de Solaris incluye ahora las siguientes mejoras de seguridad. Nivel de seguridad sadmind activado, Mejoras de Kerberos y Almacenamiento de claves de Internet Key Exchange (IKE) en la placa Sun Crypto Accelerator 4000 son nuevas funciones en la versión Solaris 9 12/03. Las funciones de seguridad de versiones anteriores son:

• Aceleración del hardware Intercambio de claves por Internet (IKE)

• Mejoras en la auditoría

• Interfaces de terminales de tarjeta inteligente

• Función crypt() mejorada

• Función de gestión de contraseñas en pam_ldap

• Mejoras en el módulo de autenticación conectable (PAM)

Nivel de seguridad sadmind activado

Si desea mejorar la seguridad con el comando sadmind, el nivel predeterminado de seguridad se ha cambiado a 2 (DES). Si no necesita sadmind, convierta en comentario la entrada del archivo inetd.conf.

Si desea obtener más información, consulte la página de comando man sadmind(1M).

Mejoras de Kerberos

Esta característica es una novedad de la versión de Solaris 9 12/03.

El Centro de distribución de claves de Kerberos (KDC) de Solaris se basa ahora en MIT Kerberos versión 1.2.1. Actualmente, la base de datos predeterminada del KDC está basada en la estructura de árbol binario, más fiable que la base de datos con hash utilizada hasta ahora.

Para obtener información adicional consulte la página de comando man kdc.conf(4).

Almacenamiento de claves de Internet Key Exchange (IKE) en la placa Sun Crypto Accelerator 4000

Esta característica es una novedad de la versión de Solaris 9 12/03.

IKE se ejecuta tanto en redes IPv6 como IPv4. Si desea información sobre palabras clave específicas para la implementación IPv6, consulte las páginas de comando man ifconfig (1M) y ike.config(4).

Al incorporar una placa Sun^TM Crypto Accelerator 4000, IKE puede desplazar a la misma las operaciones de cálculo intensivo, liberando así el sistema operativo para efectuar otras tareas. IKE puede también utilizar la placa incorporada para almacenar claves públicas, claves privadas y certificados públicos. El almacenamiento de claves en un hardware independiente ofrece seguridad adicional.

Si desea más información consulte IPsec and IKE Administration Guide y la página de comando man ikecert(1M).

Aceleración del hardware Intercambio de claves por Internet (IKE)

Esta característica es una novedad de la versión de Solaris 9 4/03.

Es posible acelerar las operaciones de clave pública de IKE mediante una tarjeta Crypto Accelerator 1000 de Sun. Las operaciones se descargan a la tarjeta. Esta descarga acelera la encriptación y reduce las exigencias con respecto al sistema operativo.

Si desea información sobre IKE, consulte IPsec and IKE Administration Guide.

Mejoras en la auditoría

Esta característica es una novedad de la versión de Solaris 9 8/03.

Las mejoras en la función de auditoría en esta versión de Solaris disminuyen la distorsión en la referencia y permiten a los administradores usar las secuencias para analizar la referencia. Las mejoras son las siguientes:

• Ya no se auditan los archivos públicos en los eventos de sólo lectura. El indicador de la norma public para el comando auditconfig controla que los archivos públicos se auditen. Si no se auditan los objetos públicos, la referencia de la auditoría se reduce drásticamente. Por este motivo los intentos de leer archivos sensibles son más sencillos de supervisar.

• El comando praudit tiene un formato adicional de salida, XML, que permite leer la salida en un navegador y proporciona la fuente con el fin de que XML cree las secuencias para los informes. Consulte la página de comando man praudit(1M).

• Se ha reestructurado el conjunto predeterminado de clases de auditoría. Las metaclases de auditoría proporcionan admisión para las clases de auditoría de alta precisión. Consulte la página de comando man audit_class(4).

• El comando bsmconv ya no desactiva el uso de la clave Stop-A. El evento Stop-A se audita ahora para conservar la seguridad.

Para obtener más información, consulte System Administration Guide: Security Services.

Interfaces de terminales de tarjeta inteligente

Esta característica es una novedad de la versión de Solaris 9 8/03.

Las interfaces de tarjeta inteligente de Solaris son un conjunto de interfaces públicas para los terminales de tarjeta inteligente Consulte Interfaces para tarjeta inteligente.

Función crypt() mejorada

Esta característica es una novedad de la versión de Solaris 9 12/02.

El cifrado de contraseñas las protege contra su lectura por parte de intrusos. El software dispone ahora de tres sólidos módulos de cifrado de contraseñas:

• Una versión de Blowfish compatible con sistemas de Berkeley Software Distribution (BSD)

• Una versión de Message Digest 5 (MD5) compatible con los sistemas BSD y Linux

• Una versión más estricta de MD5 compatible con otros sistemas Solaris

Para obtener información sobre cómo proteger las contraseñas de usuario mediante dichos módulos de cifrado, consulte la guía System Administration Guide: Security Services. Para obtener información sobre la fuerza de cifrado de los módulos, véanse las páginas de comando man crypt_bsdbf(5), crypt_bsdmd5(5) y crypt_sunmd5(5).

Función de gestión de contraseñas en pam_ldap

Esta característica es una novedad de la versión de Solaris 9 12/02.

La función de gestión de contraseñas pam_ldap incrementa la seguridad global del servicio de nombres LDAP si se utiliza junto con Sun ONE Directory Server (antes iPlanet^TM Directory Server). Las características específicas de la función de gestión de contraseñas son:

• Permite efectuar el seguimiento de la caducidad de las contraseñas

• Impide a los usuarios elegir contraseñas triviales o usadas con anterioridad

• Advierte a los usuarios cuando sus contraseñas están a punto de caducar

• Bloquea a los usuarios después de varios intentos de inicio de sesión fallidos

• Impide a cualquier usuario que no sea el administrador del sistema autorizado desactivar cuentas inicializadas

Para obtener más información sobre los servicios de asignación nombres y directorios de Solaris, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Para obtener más información acerca de las características de seguridad de Solaris, consulte la guía System Administration Guide: Security Services.

Mejoras en el módulo de autenticación conectable (PAM)

Esta característica es una novedad de la versión de Solaris 9 12/02.

La estructura PAM se ha ampliado para incluir un nuevo indicador de control que permite omitir el procesado adicional de la pila. Esta omisión se activa si no hay errores en el módulo de servicio actual ni en los módulos obligatorios anteriores.

Para obtener más información acerca de este cambio, consulte la guía System Administration Guide: Security Services.