Mejoras en la seguridad

Esta sección describe las funciones de seguridad de Solaris 10 3/05 que son nuevas o que se han mejorado desde el lanzamiento de Solaris 9 en mayo de 2002. Administración de derechos de procesamiento y Grupo de software de trabajo en red reducido son especialmente importantes. Para ver las mejoras de seguridad nuevas en la versión Solaris 10 7/05, consulte Mejoras en la seguridad.

Además de las funciones de seguridad descritas en este apartado, consulte también las siguientes descripciones relacionadas con la seguridad en el apartado de las herramientas del desarrollador y en el de la instalación:

• Método de instalación mediante un arranque WAN

• Grupo de software de trabajo en red reducido

• Nuevos mecanismos para la estructura criptográfica de Solaris

• Opciones comerciales y no comerciales para los proveedores en la estructura criptográfica de Solaris

• Capa de seguridad y autenticación simple para desarrolladores

• Pseudomecanismo SPNEGO para aplicaciones GSS-API

• Mejoras en la función crypt() para los desarrolladores de software

• Interfaces de terminales de tarjeta inteligente

• API de middleware para tarjetas inteligentes

Firma de objetos ELF

Esta función se introdujo en la versión Solaris 10 3/05.

Los archivos ejecutables y las bibliotecas del SO Solaris 10 incluyen firmas digitales que se pueden utilizar para verificar la integridad de los archivos. La firma digital proporciona un medio para detectar cualquier cambio accidental o deliberado que se efectúe en el contenido del archivo.

Los complementos de Solaris Cryptographic Framework se verifican automáticamente cuando se cargan en el sistema. El comando elfsign se puede utilizar para verificar manualmente un archivo firmado. Los programadores y los administradores pueden usar también elfsign para firmar su propio código.

Para obtener más información, consulte la página de comando man elfsign(1).

Administración de derechos de procesamiento

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

En el software Solaris, las tareas administrativas que antes requerían derechos de superusuario ahora están protegidas por funciones de gestión de derechos para realizar los procesos. La gestión de los derechos para llevar a cabo los procesos se sirve de privilegios para restringir ciertos procesos en los comandos, usuarios, funciones o sistemas. Un privilegio es un derecho perfectamente definido que un proceso requiere para realizar una operación. El sistema restringe los procesos sólo a aquellos privilegios que se requieren para realizar la tarea actual. En consecuencia, se disminuye el número de procesos root que se pueden ver sometidos a un uso indebido. La cantidad de programas setuid se ha reducido considerablemente.

Cuando se instalan, las versiones de Software Express y Solaris 10 3/05 son totalmente compatibles con las versiones anteriores del sistema operativo Solaris en términos de mejoras en los privilegios. Los programas no modificados que se ejecutan como root cuentan con todos los privilegios.

Protección de los dispositivos: los dispositivos se protegen con una política de seguridad. La política se pone en práctica mediante los privilegios. En consecuencia, los permisos de un archivo de dispositivo no determinan por completo la disponibilidad del dispositivo. También se pueden requerir los privilegios para hacer funcionar el dispositivo.

Las interfaces de sistema que antes estaban protegidas con permisos UNIX están protegidas ahora con privilegios. Por ejemplo, a los miembros del grupo sys ya no se les permite abrir automáticamente el dispositivo /dev/ip. Los procesos que se ejecutan con el privilegio net_rawaccess sí pueden acceder al dispositivo /dev/ip. Cuando arranca el sistema, el acceso a todos los dispositivos se restringe hasta que se ejecuta el comando devfsadm durante la secuencia de arranque. La política inicial es lo más estricta posible. La política evita que todos los usuarios, que no sean el superusuario, puedan iniciar conexiones.

Consulte las siguientes páginas de comando man para obtener más información:

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

Los procesos que necesitan recuperar información de Solaris IP MIB deberían abrir /dev/arp e insertar los módulos “tcp” y “udp”. No se requiere ningún tipo de privilegios. Este método es equivalente a abrir /dev/ip e impulsar los módulos “arp”, “tcp” y “udp”. Como la apertura de /dev/ip requiere ahora un privilegio, es preferible usar el método /dev/arp.

Para obtener más información, consulte los siguientes apartados de la System Administration Guide: Security Services :

• “Using Roles and Privileges (Overview)”

• “Privileges (Overview)”

• “Privileges (Tasks)”

Cambios en PAM para el sistema operativo Solaris 10

Al programa piloto Software Express se agregó un nuevo módulo pam_deny, que se mejoró en la versión Solaris Express 6/04. Además, se incluye en la versión Solaris 10 3/05. El módulo se puede utilizar para denegar el acceso a los servicios PAM designados. De forma predeterminada, el módulo pam_deny no se usa. Para obtener más información, consulte la página de comando man pam_deny(5).

El software Solaris 10 incluye los siguientes cambios en la estructura PAM.

• Con el módulo pam_authtok_check, ahora se puede realizar una comprobación de contraseña estricta que utilice nuevos valores ajustables en el archivo /etc/default/passwd. Los nuevos valores ajustables definen ahora los siguientes aspectos:

  • una lista de archivos de diccionario separados por comas que se usan para comprobar las palabras de diccionario común en una contraseña

  • las diferencias mínimas que se requiere que existan entre una contraseña nueva y una antigua

  • el número mínimo de caracteres alfabéticos y no alfabéticos que se deben usar en una contraseña nueva

  • el número mínimo de letras en mayúscula y en minúscula que se deben usar en una contraseña nueva

  • el número permitido de caracteres repetidos consecutivos

  • el número de dígitos que se deben incluir en la contraseña nueva

  • si se pueden usar o no espacios en blanco en la contraseña nueva

• El módulo pam_unix_auth implementa bloqueos de cuentas para los usuarios locales. Un bloqueo de cuenta se habilita con el valor ajustable LOCK_AFTER_RETRIES en /etc/security/policy.conf y con la clave lock_after-retries en /etc/user_attr.

• Se ha definido un nuevo indicador de control binding. Si el módulo PAM funciona correctamente y no ha fallado ningún módulo anterior que esté marcado como required, PAM omite los módulos restantes y la solicitud de autenticación se efectúa satisfactoriamente. No obstante, si se devuelve un fallo, PAM registra un fallo requerido y continúa procesando la pila. El indicador de control se describe en la página de comando man pam.conf(4).

• El módulo pam_unix se ha eliminado y se ha sustituido por un conjunto de módulos de servicio con una funcionalidad equivalente o superior. La mayoría de estos módulos ya se introdujeron en Solaris 9. A continuación, aparece la lista de los módulos de sustitución:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Las funciones del módulo pam_unix_authse han dividido en dos módulos. El módulo pam_unix_auth se encarga ahora de verificar que la contraseña sea la correcta para el usuario, mientras que el nuevo módulo pam_unix_cred proporciona funciones que establecen información sobre las credenciales del usuario.

• Se han realizado adiciones al módulo pam_krb5 para gestionar la caché de credenciales de Kerberos usando la estructura PAM. Consulte Mejoras de Kerberos.

Cambios en pam_ldap

Los siguientes cambios en pam_ldap se introdujeron en la versión Solaris Express 10/04, excepto la función de gestión de cuentas. Esta función de gestión se introdujo en el programa piloto Software Express y en Solaris 9 12/02. Consulte la página de comando man pam_ldap(5) para obtener más información acerca de estos cambios.

• Las opciones use_first_pass y try_first_pass, que antes se admitían, están obsoletas a partir de esta versión de Solaris 10, puesto que ya no son necesarias. Las opciones se pueden eliminar con total seguridad de pam.conf y se hará caso omiso de ellas.

• La solicitud de la contraseña debe proporcionarse apilando pam_authtok_get antes que pam_ldap en las pilas del módulo de contraseña e incluyendo pam_passwd_auth en la pila passwd_service_auth.

• La función de actualización de la contraseña que se admitía anteriormente se ha sustituido en esta versión por el uso de pam_authtok_store con la opción server_policy.

• La función de gestión de cuentas pam_ldap potencia la seguridad general del servicio de nombres LDAP. En concreto, la función de gestión de cuentas realiza las siguientes acciones:

  • Permite efectuar el seguimiento de la caducidad de las contraseñas

  • Impide a los usuarios elegir contraseñas triviales o usadas con anterioridad

  • Advierte a los usuarios cuando sus contraseñas están a punto de caducar

  • Bloquea a los usuarios después de varios intentos de inicio de sesión fallidos

  • Impide a cualquier usuario que no sea el administrador del sistema autorizado desactivar cuentas inicializadas

No se puede proporcionar una actualización limpia y automatizada para los cambios indicados en la lista anterior. Por lo tanto, durante una actualización a Solaris 10 o a una versión posterior, no se puede actualizar automáticamente el archivo pam.conf existente para que refleje los cambios de pam_ldap. Si el archivo pam.conf existente contiene una configuración pam_ldap, el archivo CLEANUP le informa al respecto después de la actualización. Compruebe el archivo pam.conf y modifíquelo si es necesario.

Consulte las siguientes páginas de comando man para obtener más información:

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Para obtener más información sobre los servicios de nombres y directorios de Solaris, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . Para obtener más información acerca de las características de seguridad de Solaris, consulte la System Administration Guide: Security Services .

Mejoras en Solaris Secure Shell

Esta descripción se introdujo en la versión Solaris Express 10/04.

Las siguientes mejoras efectuadas en Solaris Secure Shell están disponibles en el sistema operativo Solaris 10:

• Solaris Secure Shell se basa en OpenSSH 3.5p1. La implementación de Solaris también incluye funciones y soluciones de errores de versiones anteriores a OpenSSH 3.8p1.

• Solaris Secure Shell admite ahora el uso de API GSS para la autenticación de los usuarios y los hosts que usan Kerberos V.

  La compatibilidad con PAM, incluido el uso de la función de antigüedad de las contraseñas, se ha mejorado.

• El valor predeterminado de X11Forwarding es afirmativo en el archivo de configuración /etc/ssh/sshd.

• Los cifradores ARCFOUR y AES128-CTR están disponibles ahora. ARCFOUR también se conoce como RC4. El cifrado AES es AES en modo de contador.

• Para obtener más información sobre las mejoras, consulte la descripción de Daemon sshd y /etc/default/login.

Para obtener más información acerca de la seguridad en el sistema operativo Solaris 10, consulte la System Administration Guide: Security Services .

Motor OpenSSL y OpenSSL PKCS#11

Esta función es nueva en la versión Solaris Express 8/04.

Esta versión de Solaris incluye bibliotecas OpenSSL y comandos en /usr/sfw.

También cuenta con una interfaz de motor OpenSSL para PKCS#11, lo que permite a los usuarios de OpenSSL acceder a los proveedores criptográficos de hardware y software desde Solaris Cryptographic Framework.

Debido a las restricciones criptográficas existentes en algunos países, los algoritmos criptográficos de clave simétrica están limitados a 128 bits si no se instala el paquete SUNWcry. Dicho paquete no se incluye en el software Solaris, sino que tendrá que obtenerlo como una descarga controlada independiente.

Daemon sshd y /etc/default/login

Esta función es nueva en la versión Solaris Express 10/04.

El daemon sshd usa las variables de /etc/default/login y del comando login. Las variables de etc/default/login se pueden sustituir por los valores del archivo sshd_config.

Para obtener más información, consulte "Solaris Secure Shell and Login Environment Variables" en la System Administration Guide: Security Services . Consulte también la página de comando man sshd_config(4).

Nuevas opciones de contraseña para cuentas bloqueadas y cuentas sin inicio de sesión

Esta función es nueva en la versión Solaris Express 10/04.

El comando passwd cuenta con dos opciones nuevas: -N y -u. La opción -N permite crear una entrada de contraseña para las cuentas sin inicio de sesión. Esta opción es útil para las cuentas en las que no se debe iniciar sesión, pero que deben realizar trabajos cron. La opción -u desbloquea una cuenta que se haya bloqueado previamente.

Para obtener más información, consulte la página de comando man passwd(1).

Eliminación de la opción -setcond para el comando auditconfig

Esta función es nueva en la versión Solaris Express 10/04.

Se ha eliminado la opción -setcond del comando auditconfig. Para deshabilitar temporalmente las auditorías, use el comando audit -t. Para reiniciar una auditoría, use el comando audit -s.

Política de auditoría perzone

Esta función es nueva en la versión Solaris Express 8/04.

La política de auditoría perzone hace posible que las zonas no globales se puedan someter a auditorías individualmente. Un daemon independiente de auditoría se ejecuta en cada zona. El daemon usa archivos de configuración de auditoría que son específicos para la zona, al igual que lo es la cola de la auditoría. De forma predeterminada, esta política está desactivada.

Para obtener más información, consulte las páginas de comando man auditd(1M) y auditconfig(1M).

Mejoras de Kerberos

Las mejoras que se han realizado en Kerberos están incluidas en la versión Solaris 10. Algunas de las mejoras ya se introdujeron en versiones anteriores de Software Express.

• La compatibilidad con el protocolo Kerberos se consigue en aplicaciones remotas como, por ejemplo, ftp, rcp, rdist, rlogin, rsh y telnet. Consulte las páginas de comando man de cada comando o daemon y krb5_auth_rules(5) para obtener más información.

• La base de datos principal de Kerberos se puede transferir ahora mediante actualizaciones progresivas en lugar de transferir la base entera cada vez. La propagación progresiva aporta varias ventajas, entre las que se incluyen las siguientes:

  • Mayor coherencia de la base de datos en todos los servidores

  • Menor necesidad de recursos como, por ejemplo, recursos de red o de CPU

  • Propagación de las actualizaciones en un tiempo más reducido

  • Método de propagación automático

• Hay una nueva secuencia de comandos que ayuda a configurar automáticamente un cliente Kerberos. La secuencia permite que un administrador pueda configurar de forma fácil y rápida un cliente Kerberos. Para conocer los procedimientos que utilizan la nueva secuencia de comandos, consulte el capítulo 22, "Configuring the Kerberos Service (Tasks)", de la System Administration Guide: Security Services . Consulte también la página de comando man kclient(1M) para obtener más información.

• Se han agregado varios tipos de cifrado al servicio Kerberos. Estos nuevos tipos de cifrado suponen un aumento de la seguridad y mejoran la compatibilidad con otras implementaciones Kerberos que admiten estos tipos de cifrado. Todos los tipos de cifrado aparecen documentados en la página de comando man mech(4). Consulte "Using Kerberos Encryption Types" en la System Administration Guide: Security Services para obtener más información. Los tipos de cifrado proporcionan las siguientes funciones:

  • El tipo de cifrado AES se puede utilizar para cifrados de alta seguridad o alta velocidad de sesiones de Kerberos. El uso de AES se habilita mediante la estructura criptográfica.

  • ARCFOUR-HMAC proporciona una mejor compatibilidad con otras versiones de Kerberos.

  • Triple DES (3DES) con SHA1 aumenta la seguridad. Este tipo de cifrado también supone un beneficio para la interoperabilidad con otras implementaciones de Kerberos que admitan este tipo de cifrado.

• El software KDC y el comando kinit son compatibles ahora con el uso el protocolo de red TCP. Gracias a esta adición, podrá realizar operaciones de forma más sólida y mejorará la interoperabilidad con otras implementaciones de Kerberos. KDC ahora “escucha” a través de los puertos UDP tradicionales y de los puertos TCP, de forma que puede responder a las solicitudes que usen ambos protocolos. El comando kinit intenta usar primero el puerto UDP a la hora de enviar solicitudes a KDC. Si se produce un fallo, intentará usar el puerto TCP.

• Al software KDC se le ha agregado compatibilidad con IPv6 con los comandos kinit, klist y kprop. La compatibilidad con las direcciones IPv6 se proporciona de manera predeterminada. No es necesario cambiar ningún parámetro de configuración para habilitar esta compatibilidad.

• Se ha agregado una nueva opción -e a varios subcomandos del comando kadmin. Esta nueva opción permite seleccionar el tipo de cifrado cuando se vayan a crear los elementos principales. Consulte la página de comando man kadmin(1M) para obtener más información.

• Se han realizado adiciones al módulo pam_krb5 para gestionar la caché de credenciales de Kerberos usando la estructura PAM. Consulte la página de comando man pam_krb5(5) para obtener más información.

• Se incorpora compatibilidad para la detección automática de varios elementos de Kerberos: el KDC, el servidor de administración, el servidor kpasswd y las asignaciones de nombre de dominio para el dominio o el host utilizadas por las búsquedas DNS. Esta compatibilidad reduce la cantidad de pasos necesarios para instalar un cliente Kerberos. El cliente puede localizar un servidor KDC usando DNS en lugar de leer el archivo de configuración. Consulte la página de comando man krb5.conf(4) para obtener más información.

• Se ha incorporado un nuevo módulo PAM llamado pam_krb5_migrate. Este módulo ayuda a migrar usuarios de forma automática al dominio local de Kerberos en caso de que éstos no dispongan de cuentas de Kerberos. Consulte la página de comando man pam_krb5_migrate(5) para obtener más información.

• El archivo ~/.k5login se puede usar ahora con aplicaciones GSS, ftp y ssh. Para obtener más información, consulte la página de comando man krb5_auth_rules(5).

• La utilidad kproplog se ha actualizado para mostrar todos los nombres de atributos por entrada de registro. Para obtener más información, consulte la página de comando man kproplog(1M).

• Una nueva opción de archivo de configuración permite que la estricta función de verificación TGT (Ticket Granting Ticket) se pueda configurar de forma opcional para cada dominio. Consulte la página de comando man krb5.conf(4) para obtener más información.

• Las extensiones realizadas en las utilidades de cambio de contraseña permiten que el servidor de administración Solaris Kerberos V5 acepte solicitudes de cambio de contraseñas procedentes de clientes que no sean Solaris. Consulte la página de comando man kadmin(1M) para obtener más información.

• La ubicación predeterminada de la caché de reproducción se ha cambiado de los sistemas de archivos basados en RAM al almacenamiento persistente en /var/krb5/rcache/. Esta nueva ubicación impide que se realicen reproducciones si se rearranca un sistema. También se ha mejorado el rendimiento del código rcache. No obstante, el rendimiento general de la caché de reproducción puede ser algo inferior debido al uso del almacenamiento persistente.

• La caché de reproducción se puede configurar ahora para que use almacenamiento de archivo o almacenamiento de sólo memoria. Consulte la página de comando man krb5envvar(5) para obtener más información acerca de las variables de entorno que se pueden configurar para la tabla de claves, y los tipos de caché de credenciales o las ubicaciones.

• La tabla de credenciales GSS ya no es necesaria para los mecanismos GSS de Kerberos. Para obtener más información, consulte las páginas de comando man gsscred(1M), gssd(1M) y gsscred.conf(4).

• Las utilidades Kerberos, kinit y ktutil, se basan ahora en la versión 1.2.1 de MIT Kerberos. Este cambio ha supuesto la adición de nuevas opciones para el comando kinit y nuevos subcomandos para el comando ktutil. Para obtener más información, consulte las páginas de comando man kinit(1) y ktutil(1).

• El Centro de distribución de claves de Kerberos (KDC) de Solaris se basa ahora en la versión 1.2.1. de Kerberos MIT. El KDC toma como valor predeterminado una base de datos basada en btree, más fiable que la base de datos actual basada en hash. Para obtener más información, consulte la página de comando man kdb5_util(1M) Para los usuarios de Solaris 9, este cambio se introdujo en la versión Solaris 9 12/03.

Empaquetadores TCP para rpcbind

Esta función es nueva en la versión Solaris Express 4/04.

La compatibilidad con los empaquetadores TCP se ha agregado al comando rpcbind. Este hecho permite al administrador limitar las llamadas a rpcbind para los hosts seleccionados, aunque también puede registrar todas las llamadas para rpcbind.

Para obtener más información, consulte la página de comando man rpcbind(1M).

Opción de testigo de auditoría zonename y políticas de auditoría

La tecnología de partición Zonas de Solaris se introdujo en la versión Solaris Express 2/04. Consulte Tecnología de partición Zonas de Solaris. Las mejoras relacionadas con zonename que se describen aquí se introdujeron también en la versión Solaris Express 2/04.

El testigo de auditoría zonename registra el nombre de la zona en la que se produce el evento de auditoría. La opción zonename audit policy determina si, en todas las zonas, el testigo zonename está incluido en los registros de auditoría. Si los criterios para la preselección de las clases de auditoría varían entre las zonas no globales, puede que desee analizar los registros de auditoría por zonas. La directiva de auditoría zonename le permite seleccionar posteriormente registros de auditoría por zonas.

Consulte "Auditing and Solaris Zones" en la System Administration Guide: Security Services .

Para obtener más información, consulte las páginas de comando man audit.log(4), auditconfig(1M) y auditreduce(1M). Consulte también "Using Solaris Auditing in Zones" de la Guía de administración de sistemas: Zonas de Solaris y administración de recursos y contenedores de Solaris.

Comandos de usuario para Solaris Cryptographic Framework

Esta función se introdujo en la versión Solaris Express 1/04.

Los comandos digest, mac y encrypt incluyen ahora una opción para enumerar los algoritmos que están disponibles para cada comando. Para los comandos mac y encrypt, la salida incluye la longitud de clave que acepta cada algoritmo. También, la opción -I <IV-file> se ha eliminado de los comandos encrypt y decrypt.

Para obtener más información, consulte el capítulo 14, “Solaris Cryptographic Framework (Tasks)” y “Protecting Files With the Solaris Cryptographic Framework”, de la System Administration Guide: Security Services .

Para obtener más información, consulte las páginas de comando man encrypt(1), digest(1) y mac(1).

Parámetros de configuración IKE

Esta función se introdujo en la versión Solaris Express 1/04.

Al archivo /etc/inet/ike/config se le han agregado parámetros de retransmisión y parámetros de tiempo de espera agotado de paquetes. Estos parámetros permiten al administrador ajustar la negociación de la fase 1 de IKE (modo principal). Los ajustes permiten a Solaris IKE interoperar con plataformas que implementen el protocolo IKE de un modo diferente. También ayudan al administrador a ajustar las interferencias de red y el tráfico de red denso.

Para obtener una descripción detallada de los parámetros, consulte la página de comando man ike.config(4).

Autenticación sencilla y capa de seguridad

Esta función se introdujo en la versión Solaris Express 12/03.

La función de autenticación sencilla y capa de seguridad (SASL, del inglés Simple Authentication and Security Layer) proporciona a los desarrolladores de aplicaciones interfaces para agregar autenticación, comprobaciones de la integridad de los datos y cifrados para protocolos basados en conexiones.

Para obtener más información, consulte Capa de seguridad y autenticación simple para desarrolladores.

Consulte también el capítulo 17, "Using SASL", de la System Administration Guide: Security Services .

El tiempo de las auditorías se registra ahora en formato ISO 8601

Esta función se introdujo en la versión Solaris Express 12/03.

Los testigos de archivo y de encabezado en los registros de auditoría ahora muestran el tiempo en formato ISO 8601. Por ejemplo, la salida del comando praudit para el testigo del archivo es la siguiente:

Testigo del archivo antiguo:

file,Mon Oct 13 11:21:35 PDT 2003, + 506 msec, /var/audit/20031013175058.20031013182135.machine1

Testigo del archivo nuevo:

file,2003-10-13 11:21:35.506 -07:00, /var/audit/20031013175058.20031013182135.machine1

Testigo del encabezado antiguo:

header,173,2,settppriv(2),,machine1, Mon Oct 13 11:23:31 PDT 2003, + 50 msec

Testigo del encabezado nuevo:

header,173,2,settppriv(2),,machine1, 2003-10-13 11:23:31.050 -07:00

La salida XML también se ha modificado. Por ejemplo, la salida del comando praudit -x aplica formato al indicador del archivo de la siguiente forma:

<file iso8601="2003-10-13 11:21:35.506 -07:00">
/var/audit/20031013175058.20031013182135.machine1</file>

Es posible que las secuencias de comandos o las herramientas personalizadas que analizan la salida de praudit se deban actualizar para ajustarse a este cambio.

Para obtener más información, consulte el capítulo 27, "Solaris Auditing (Overview)" y "Changes to Solaris Auditing for the Solaris 10 Release", de la System Administration Guide: Security Services .

Herramienta de informes y de auditoría básica

Esta función se introdujo en la versión Solaris Express 11/03.

La herramienta de informes y de auditoría básica (BART, del inglés Basic Audit and Reporting Tool) es una utilidad de línea de comandos que faculta a los fabricantes del equipo original, a los usuarios avanzados y a los administradores de sistema a realizar comprobaciones en los archivos del contenido del software en un sistema de destino. Esta herramienta es especialmente útil para recopilar información acerca de los elementos instalados en un sistema. BART también le permite comparar sistemas instalados y comparar el contenido de un sistema a lo largo del tiempo.

Para obtener más información, consulte el capítulo 5, "Using the Basic Audit Reporting Tool (Tasks)", de la System Administration Guide: Security Services .

Consulte también las páginas de comando man bart_manifest(4), bart_rules(4) y bart(1M).

IPsec y Solaris Cryptographic Framework

Esta función se introdujo en la versión Solaris Express 9/03.

IPsec usa Solaris Cryptographic Framework en lugar de sus propios módulos de cifrado y autenticación. Los módulos están optimizados para la plataforma SPARC. Además, se ha agregado una utilidad de línea de comandos ipsecalgs junto con varias API para realizar consultas sobre la lista de algoritmos IPsec admitidos y otras propiedades IPsec.

Para obtener más información, consulte la página de comando man ipsecalgs(1M).

En la Guía de administración del sistema: servicios IP, consulte el capítulo 18, "IP Security Architecture (Overview)" y "Authentication and Encryption Algorithms in IPsec".

Solaris Cryptographic Framework para administradores de sistemas

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

Solaris Cryptographic Framework proporciona servicios de criptografía a las aplicaciones de un entorno Solaris. El administrador del sistema controla qué algoritmos de cifrado se pueden usar con el comando cryptoadm. El comando cryptoadm le permite realizar las siguientes funciones:

• Gestionar los proveedores disponibles de servicios criptográficos

• Establecer políticas de seguridad criptográfica como, por ejemplo, deshabilitar algoritmos de un proveedor concreto

La estructura criptográfica de Solaris incluye complementos para algoritmos AES, DES/3DES, RC4, MD5, SHA-1, DSA, RSA y Diffie-Hellman. Los complementos se pueden agregar o eliminar según se requiera.

Los comandos encrypt, decrypt, digest y mac usan algoritmos criptográficos desde la estructura.

Para obtener más información, consulte el capítulo 13, "Solaris Cryptographic Framework (Overview)", de la System Administration Guide: Security Services .

Consulte también las siguientes páginas de comando man:

• cryptoadm(1M)

• kcfd(1M)

• libpkcs11(3LIB)

• pkcs11_kernel(5)

• pkcs11_softtoken(5)

Registro de auditoría remoto

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

Además de guardar los eventos de auditoría en el registro de auditoría binario, las distintas versiones de Solaris le permiten registrar dichos eventos en el registro de sistema (syslog).

La generación de datos de registro de sistema le permite utilizar las mismas herramientas de análisis y de gestión que están disponibles para los mensajes syslog desde diversos entornos Solaris o no Solaris, incluidos los servidores, los cortafuegos, los encaminadores y las estaciones de trabajo. Si usa syslog.conf para enrutar mensajes de auditoría a una ubicación de almacenamiento remoto, estará protegiendo los datos del registro para evitar que los modifique o elimine un posible agresor. No obstante, la opción syslog proporciona sólo un resumen de los datos registrados de la auditoría. Además, cuando se almacenan los datos de syslog en un sistema remoto, éstos pueden ser objeto de ataques de red como, por ejemplo, una negación de servicio o “simulaciones” de direcciones de origen.

Para obtener más información, consulte el capítulo 27, "Solaris Auditing (Overview)" y "Audit Files", de la System Administration Guide: Security Services .

Consulte también las siguientes páginas de comando man:

• audit(1M)

• audit.log(4)

• audit_control(4)

• audit_syslog(5)

• syslog(3C)

• syslog.conf(4)

Mejoras en el servidor FTP

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

En el servidor FTP se han efectuado mejoras en la escalabilidad y la transferencia de registros, entre las que se incluyen:

• La función sendfile() se usa para las descargas binarias.

• El archivo ftpaccess admite nuevas funciones:

  • flush-wait controla el comportamiento al final de una descarga o de un listado de directorios.

  • ipcos define la clase IP del servicio para el control o la conexión de datos.

  • passive ports se puede configurar para que el núcleo seleccione el puerto TCP mediante el que se van a recibir las conexiones.

  • quota-info hace posible la recuperación de la información de cuotas.

  • recvbuf establece el tamaño de la memoria búfer (de carga) que se debe usar para las transferencias binarias.

  • rhostlookup habilita o deshabilita la búsqueda del nombre de host remoto.

  • sendbuf establece el tamaño de la memoria búfer (de descarga) que se debe usar para las transferencias binarias.

  • xferlog format personaliza el formato de la entrada del registro de transferencias.

• La nueva opción -4 hace que el FTP sólo reciba conexiones en un socket IPv4 cuando se ejecute en modo independiente.

El cliente y el servidor FTP ahora son compatibles con Kerberos. Para obtener más información, consulte la página de comando man ftp(4) y el apartado “Kerberos User Commands” de la System Administration Guide: Security Services.

Además, ftpcount y ftpwho ahora son compatibles con la opción -v, que muestra información sobre las cuentas de los usuarios y los procesos para las clases de servidor FTP que estén definidas en los archivos ftpaccess del host virtual.

Para obtener más información, consulte las siguientes páginas de comando man:

• in.ftpd(1M)

• ftpaccess(4)

• ftpcount(1)

• ftpwho(1)

• sendfile(3EXT)

Cliente FTP

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

El software Solaris incluye un cambio en el cliente FTP. De forma predeterminada, un cliente FTP de Solaris, conectado a un servidor FTP de Solaris, muestra los directorios y los archivos sin formato cuando se ejecuta el comando ls. Si el servidor FTP no se está ejecutando en el sistema operativo Solaris, es posible que los directorios no se muestren.

Para que, al conectarse a servidores FTP que no sean Solaris, se obtenga el comportamiento predeterminado de Solaris, será necesario editar el archivo /etc/default/ftp en cada cliente Solaris. Para realizar el cambio para usuarios individuales, se debe establecer la variable de entorno FTP_LS_SENDS_NLST.

Para obtener más información, consulte la página de comando man ftp(4).

El cliente y el servidor FTP ahora son compatibles con Kerberos. Para obtener más información, consulte la página de comando man ftp(4) y el apartado “Kerberos User Commands” de la System Administration Guide: Security Services.

Almacenamiento de claves de Internet Key Exchange (IKE) en la placa Sun Crypto Accelerator 4000

Esta función se introdujo en el programa piloto Software Express y en Solaris 9 12/03. Además, se incluye en la versión Solaris 10 3/05.

IKE se ejecuta ahora tanto en redes IPv6 como IPv4. Para obtener más información acerca de las palabras clave que son específicas de la implementación IPv6, consulte las páginas de comando man ifconfig(1M) y ike.config(4).

Al incorporar una placa Sun Crypto Accelerator 4000, IKE puede desplazar a ella las operaciones de cálculo intensivo, liberando así el sistema operativo para efectuar otras tareas. IKE puede también utilizar la placa incorporada para almacenar claves públicas, claves privadas y certificados públicos. El almacenamiento de claves en un hardware independiente ofrece seguridad adicional.

Para obtener más información, consulte la página de comando man ikecert(1M).

Consulte los siguientes apartados de la Guía de administración del sistema: servicios IP:

• “IP Security Architecture (Overview)”

• “Internet Key Exchange (Overview)”

• “IKE and Hardware Storage”

• “Configuring IKE (Tasks)”

• “Configuring IKE to Find Attached Hardware”

Aceleración de IKE mediante hardware

Esta función se introdujo en el programa piloto Software Express y en Solaris 9 4/03. Además, se incluye en la versión Solaris 10 3/05.

Las operaciones con clave pública en IKE se pueden acelerar usando tarjetas Sun Crypto Accelerator 1000 y Sun Crypto Accelerator 4000. Las operaciones se descargan a la tarjeta. Esta descarga acelera el cifrado y reduce las exigencias con respecto a los recursos del sistema operativo.

Para obtener información acerca de IKE, consulte los siguientes apartados de Guía de administración del sistema: servicios IP:

• “Configuring IKE to Find Attached Hardware”

• “Internet Key Exchange (Overview)”

• “IKE and Hardware Acceleration”

• “Configuring IKE (Tasks)”

• “Configuring IKE to Find Attached Hardware”

Mejoras en ipseckey

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

El analizador ipseckey proporciona una ayuda más clara a los administradores de red que tengan instalados IPsec o IKE en sus sistemas. El comando ipseckey monitor ahora proporciona una marca de hora para cada evento.

Para obtener más información, consulte la página de comando man ipseckey(1M).

Propagación de credenciales mediante conexiones de bucle de realimentación

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

Esta versión de Solaris introduce ucred_t * como una representación abstracta de las credenciales de un proceso. Dichas credenciales se pueden recuperar usando door_ucred() en los servidores de puerta y getpeerucred () para las conexiones de bucle de realimentación. Las credenciales se pueden recibir usando recvmsg().

Consulte la página de comando man socket.h(3HEAD) para obtener más información.

El testigo del encabezado de las auditorías contiene información sobre el host

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

El testigo del encabezado de los registros de auditoría se ha ampliado para que incluya el nombre del host.

El encabezado antiguo muestra la siguiente información:

header,131,4,login - local,,Wed Dec 11 14:23:54 2002, + 471 msec

El nuevo encabezado expandido muestra esta información:

header,162,4,login - local,,example-hostname,
Fri Mar 07 22:27:49 2003, + 770 msec

Es posible que las secuencias de comandos o las herramientas personalizadas que analizan la salida de praudit se deban actualizar para ajustarse a este cambio.

Para obtener más información, consulte el capítulo 30, "Solaris Auditing (Reference)" y "header Token", de la System Administration Guide: Security Services.

Mejoras en la auditoría

Esta función se introdujo en el programa piloto Software Express y en Solaris 9 8/03. Además, se incluye en la versión Solaris 10 3/05.

Las mejoras en la función de auditoría del software Solaris disminuyen la distorsión en la referencia y permiten a los administradores usar las secuencias de comandos XML para analizar la referencia. Las mejoras son las siguientes:

• Ya no se auditan los archivos públicos en los eventos de sólo lectura. El indicador de la norma public para el comando auditconfig controla que los archivos públicos se auditen. Si no se auditan los objetos públicos, la referencia de la auditoría se reduce drásticamente. Por este motivo los intentos de leer archivos sensibles son más sencillos de supervisar.

• El comando praudit tiene un formato adicional de salida, XML, que permite leer la salida en un navegador y proporciona la fuente con el fin de que XML cree las secuencias para los informes. Consulte la página de comando man praudit(1M).

• Se ha reestructurado el conjunto predeterminado de clases de auditoría. Las metaclases de auditoría proporciona compatibilidad con clases de auditoría más específicas. Consulte la página de comando man audit_class(4).

• La orden bsmconv ya no inhabilita el uso de la combinación de claves Stop-A. El evento Stop-A se audita ahora para conservar la seguridad.

Para obtener más información, consulte los siguientes apartados de la System Administration Guide: Security Services :

• “Solaris Auditing (Reference)”

• “Definitions of Audit Classes”

• “praudit Command”

• “Solaris Auditing (Overview)”

• “Audit Terminology and Concepts”

• “Changes to Solaris Auditing for the Solaris 10 Release”

Nuevo testigo de auditoría path_attr

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

El testigo de auditoría path_attr contiene información sobre la ruta de acceso para un objeto. La ruta de acceso especifica la secuencia de objetos de archivo de atributos que pertenecen al objeto del testigo de ruta. Las llamadas de sistema, como openat(), permiten acceder a los archivos de atributos. Para obtener más información acerca de los atributos de archivo extendidos, consulte la página de comando man fsattr(5).

El testigo path_attr tiene tres campos:

• Un campo de ID de indicador que identifica al testigo como path_attr

• Un recuento que representa el número de secciones de las rutas de los archivos de atributos

• Una o varias cadenas terminadas en cero

El comando praudit muestra el testigo path_attr de la siguiente forma:

path_attr,1,attr_file_name

Para obtener más información, consulte el capítulo 30, "Solaris Auditing (Reference)" y "path_attr Token", de la System Administration Guide: Security Services .

Comprobación del historial de las contraseñas

Esta función se introdujo en el programa piloto Software Express. Además, se incluye en la versión Solaris 10 3/05.

Para las cuentas de inicio de sesión que están definidas en los archivos locales, se puede habilitar un historial que incluya los 26 últimos cambios de contraseña. Si un usuario desea cambiar una contraseña, no podrá hacerlo si la contraseña nueva coincide con alguna de las que aparecen en el historial. La comprobación del nombre de inicio de sesión también se puede deshabilitar.

Consulte la página de comando man passwd(1) para obtener más información.

Función crypt() mejorada

Esta función se introdujo en el programa piloto Software Express y en Solaris 9 12/02. Además, se incluye en la versión Solaris 10 3/05.

El cifrado de contraseñas las protege contra su lectura por parte de intrusos. El software dispone ahora de tres sólidos módulos de cifrado de contraseñas:

• Una versión de Blowfish compatible con sistemas de Berkeley Software Distribution (BSD)

• Una versión de Message Digest 5 (MD5) compatible con los sistemas BSD y Linux

• Una versión más estricta de MD5 compatible con otros sistemas Solaris

Para obtener información acerca de cómo proteger las contraseñas de usuario con estos nuevos módulos de cifrado, consulte los siguientes apartados de la System Administration Guide: Security Services :

• “Controlling Access to Systems (Tasks)”

• “Managing Machine Security (Overview)”

• “Changing the Default Algorithm for Password Encryption”

Para obtener más información sobre la fuerza de cifrado de los módulos, consulte las páginas de comando man crypt_bsdbf(5), crypt_bsdmd5(5) y crypt_sunmd5(5).