Miglioramenti alla sicurezza

Solaris include i seguenti miglioramenti relativi alla sicurezza. Nuovo livello di sicurezza per sadmind, Miglioramenti a Kerberos e Memorizzazione delle chiavi di IKE sulla scheda Sun Crypto Accelerator 4000 sono stati inclusi per la prima volta in Solaris 9 12/03. Le seguenti funzioni relative alla sicurezza sono state introdotte nelle versioni precedenti.

• Accelerazione via hardware delle operazioni IKE (Internet Key Exchange)

• Funzioni di auditing

• Interfacce per i terminali di smart card

• Nuova versione della funzione crypt()

• Funzione di gestione delle password in pam_ldap

• PAM (Pluggable Authentication Module)

Nuovo livello di sicurezza per sadmind

Per migliorare la sicurezza del comando sadmind è stato adottato il livello di sicurezza predefinito 2 (DES). Se non si richiede l'uso di sadmind, commentare la voce corrispondente nel file inetd.conf.

Per maggiori informazioni, vedere la pagina man di sadmind (1M).

Miglioramenti a Kerberos

Questa funzione è stata inclusa per la prima volta in Solaris 9 12/03.

IL KDC (Key Distribution Center) Kerberos di Solaris si basa ora sul MIT Kerberos versione 1.2.1. Nell'impostazione predefinita KDC utilizza ora un database basato su btree, più affidabile di quello attuale basato sugli hash.

Vedere la pagina man kdc.conf(4) per maggiori informazioni.

Memorizzazione delle chiavi di IKE sulla scheda Sun Crypto Accelerator 4000

Questa funzione è stata inclusa per la prima volta in Solaris 9 12/03.

IKE può essere eseguito sia sulle reti IPv6 che su quelle IPv4. Per informazioni sulle parole chiave specifiche dell'implementazione IPv6, vedere le pagine man ifconfig (1M) e ike.config(4).

Quando al sistema è collegata una scheda Sun^TM Crypto Accelerator 4000, IKE può delegare le operazioni di calcolo intensive alla scheda, liberando il sistema operativo per altre attività. IKE può utilizzare la scheda anche per memorizzare le chiavi pubbliche, quelle private e i certificati pubblici. La memorizzazione delle chiavi su un componente hardware separato migliora ulteriormente la sicurezza.

Per altre informazioni, vedere il manuale IPsec and IKE Administration Guide e la pagina man ikecert(1M).

Accelerazione via hardware delle operazioni IKE (Internet Key Exchange)

Questa funzione è stata inclusa per la prima volta in Solaris 9 4/03.

Le operazioni a chiave pubblica in IKE possono essere accelerate mediante una scheda Sun Crypto Accelerator 1000. Il trasferimento delle operazioni alla scheda accelera la cifratura e riduce il carico di lavoro per le risorse del sistema operativo.

Per informazioni su IKE, vedere il manuale IPsec and IKE Administration Guide.

Funzioni di auditing

Questa funzione è stata inclusa per la prima volta in Solaris 9 8/03.

I miglioramenti alle funzioni di audit di questa versione di Solaris riducono i dati indesiderati nella traccia e consentono agli amministratori di usare script XML per analizzare la traccia di audit. Le modifiche sono le seguenti:

• Non viene più eseguito l'audit dei file pubblici per gli eventi di sola lettura. Il flag della policy public per il comando auditconfig permette di stabilire se l'auditing debba essere eseguito sui file pubblici. Escludendo dall'auditing gli oggetti pubblici, l'output del processo risulta fortemente ridotto. Ciò semplifica anche il monitoraggio dei file critici.

• Il comando praudit utilizza il formato di output aggiuntivo XML. Il formato XML consente di leggere l'output con un browser e costituisce la base per l'elaborazione dei report con script XML. Vedere la pagina man praudit (1M).

• Il set predefinito delle classi di auditing è stato riorganizzato. Le metaclassi supportano classi di auditing più dettagliate. Vedere la pagina man audit_class(4).

• Il comando bsmconv non disabilita più l'uso della combinazione di tasti Stop-A. L'evento Stop-A viene ora controllato per ragioni di sicurezza.

Per maggiori informazioni, vedere il manuale System Administration Guide: Security Services.

Interfacce per i terminali di smart card

Questa funzione è stata inclusa per la prima volta in Solaris 9 8/03.

Le interfacce per smart card di Solaris rappresentano un insieme di interfacce pubbliche per i terminali di smart card. Vedere Interfacce per smart card.

Nuova versione della funzione crypt()

Questa funzione è stata inclusa per la prima volta in Solaris 9 12/02.

La cifratura protegge le password dalla violazione da parte di estranei. Il software comprende ora tre moduli di cifratura delle password:

• Una versione di Blowfish compatibile con i sistemi BSD (Berkeley Software Distribution)

• Una versione di Message Digest 5 (MD5) compatibile con i sistemi BSD e Linux

• Una versione più robusta di MD5 compatibile con altri sistemi Solaris

Per informazioni sulla protezione delle password con questi nuovi moduli di cifratura, vedere il manuale System Administration Guide: Security Services. Per informazioni sulle caratteristiche di robustezza dei moduli, vedere le pagine man crypt_bsdbf( 5), crypt_bsdmd5( 5) e crypt_sunmd5( 5).

Funzione di gestione delle password in pam_ldap

Questa funzione è stata inclusa per la prima volta in Solaris 9 12/02.

La funzione di gestione delle password pam_ldap, usata in combinazione con Sun ONE Directory Server (già iPlanet^TM Directory Server), rafforza la sicurezza generale del servizio di denominazione LDAP. In particolare, la funzione di gestione delle password opera come segue:

• Consente di controllare la durata e la scadenza delle password

• Impedisce agli utenti di scegliere password troppo semplici o già usate in precedenza

• Avverte l'utente quando la password sta per scadere

• Blocca l'accesso degli utenti dopo ripetuti errori di login

• Impedisce agli utenti diversi dall'amministratore di sistema di disattivare gli account inizializzati

Per maggiori informazioni sui servizi di denominazione e di directory di Solaris, vedere il manuale System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Per informazioni sulle funzioni di sicurezza di Solaris, vedere il manuale System Administration Guide: Security Services.

PAM (Pluggable Authentication Module)

Questa funzione è stata inclusa per la prima volta in Solaris 9 12/02.

Il framework PAM è stato espanso con l'inclusione di un nuovo flag di controllo. Tale flag di controllo offre la possibilità di ignorare l'ulteriore elaborazione di uno stack. Questa funzione è abilitata se il modulo di servizio corrente opera correttamente e non si sono verificati errori nei moduli obbligatori precedenti.

Per maggiori informazioni, vedere il manuale System Administration Guide: Security Services.