Säkerhetsförbättringar

Det här avsnittet beskriver säkerhetsfunktioner i Solaris 10 3/05 som är nya eller förbättrade sedan operativsystemet Solaris 9 först distribuerades i maj 2002. Hantering av processrättigheter och Programvarugruppen Reducerat nätverk är särskilt viktiga. Information om säkerhetsförbättringar som är nya i Solaris 10 7/05 finns i Säkerhetsfunktioner.

Utöver säkerhetsfunktionerna som beskrivs i det här avsnittet finns det även information i följande säkerhetsrelaterade funktionsbeskrivningar i avsnittet Utvecklingsverktyg och i avsnittet Installation:

• Start och installation via ett globalt nätverk

• Programvarugruppen Reducerat nätverk

• Nya mekanismer för det kryptografiska ramverket för Solaris

• Retail- och Nonretail-alternativ för providers i det kryptografiska ramverket för Solaris

• SASL (Simple Authentication and Security Layer for Developers)

• Pseudomekanismen SPNEGO för GSS-API-program

• Förbättrad crypt()-funktion för programvaruutvecklare

• Terminalgränssnitt för smartkort

• Mellanprograms-API:er för smartkort

Signera ELF-objekt

Den här funktionen är ny för Solaris 10 3/05.

Bibliotek och körbara filer i operativsystemet Solaris 10 innehåller digitala signaturer som kan användas för att verifiera de här filernas integritet. Den digitala signaturen tillhandahåller ett sätt att upptäcka oavsiktliga eller otillåtna ändringar av filens körbara innehåll.

Insticksmoduler för det kryptografiska ramverket för Solaris verifieras automatiskt när de hämtas av systemet. Kommandot elfsign kan användas manuellt för att verifiera valfri signerad fil. Utvecklare och administratörer kan också använda elfsign för att signera sin egen kod.

Mer information finns i direkthjälpen för elfsign(1).

Hantering av processrättigheter

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

I Solaris skyddas administrativa uppgifter som tidigare krävde superanvändarrättigheter av processrättigheter. I hanteringen av processrättigheter används behörigheter för att begränsa processerna på kommando-, användar-, roll- och systemnivå. En behörighet är en diskret rättighet som processen behöver ha för att kunna utföra en operation. Systemet begränsar processer till endast de behörigheter som krävs för att utföra den aktuella åtgärden. På det här sättet är färre root-processer sårbara för attacker utifrån. Antalet setuid-program har minskat avsevärt.

När de är installerade är Software Express-versionerna och Solaris 10 3/05 helt kompatibla med tidigare versioner av operativsystemet Solaris vad gäller behörighetsförbättringar. Oförändrade program körs med alla behörigheter om de körs som root.

Skydd av enheter – Enheter skyddas med en säkerhetspolicy. Policyn upprätthålls med behörigheter. Därför bestäms inte tillgången till en enhet helt av behörigheterna i enhetsfilen. Det kan även krävas behörigheter för att använda enheten.

Systemgränssnitt som skyddades av UNIX-behörigheter skyddas nu med behörigheter. Exempelvis tillåts medlemmar i gruppen sys inte längre automatiskt att öppna enheten /dev/ip. Processer som körs med behörigheten net_rawaccess kan komma åt enheten /dev/ip. När systemet startas begränsas åtkomsten till alla enheter tills kommandot devfsadm körs under startsekvensen. Den inledande säkerhetspolicyn är så strikt som möjligt. Det hindrar alla användare utom superanvändaren från att initiera anslutningar.

Mer information finns på följande ställen i direkthjälpen:

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

Processer som behöver hämta Solaris IP-MIB-information bör öppna /dev/arp och ladda modulerna ”tcp” och ”udp”. Inga behörigheter krävs. Den här metoden motsvarar att öppna /dev/ip och ladda modulerna ”arp”, ”tcp” och ”udp”. Eftersom det nu krävs behörighet för att öppna /dev/ip så är metoden /dev/arp att föredra.

Mer information finns i följande avsnitt i System Administration Guide: Security Services:

• ”Using Roles and Privileges (Overview)”

• ”Privileges (Overview)”

• ”Privileges (Tasks)”

Ändringar i PAM för operativsystemet Solaris 10

En ny pam_deny-modul lades till i pilotprogrammet Software Express och förbättrades i Solaris Express 6/04. Den här funktionen ingår i Solaris 10 3/05. Modulen kan användas för att neka åtkomst till PAM-tjänster. Standardinställningen är att pam_deny-module inte används. Mer information finns i direkthjälpen för pam_deny(5).

Solaris 10 innehåller följande ändringar i PAM-ramverket.

• Modulen pam_authtok_check tillåter nu strikt lösenordskontroll som använder nya justerare i filen /etc/default/passwd. De nya justerarna definierar följande:

  • En lista med kommaseparerade ordlistefiler som används för kontroll mot ord i ordlistor för lösenord.

  • Den minsta skillnad som krävs mellan ett nytt och ett gammalt lösenord.

  • Det lägsta antalet alfabetiska och icke-alfabetiska tecken som måste finnas i ett nytt lösenord.

  • Det lägsta antalet versaler och gemener som måste finnas i ett nytt lösenord.

  • Hur många gånger samma tecken får upprepas i rad.

  • Antalet siffror som måste användas i ett nytt lösenord.

  • Om mellanslag tillåts i nya lösenord.

• Modulen pam_unix_auth implementerar kontolås för lokala användare. Kontolås aktiveras av justerbara LOCK_AFTER_RETRIES i /etc/security/policy.conf, och nyckeln lock_after-retries i /etc/user_attr.

• En ny kontrollflagga för binding har definierats. Om PAM-modulen lyckas och inga föregående moduler som är flaggade som required har misslyckats, så hoppar PAM över återstående moduler och verifieringsförfrågan lyckas. Om ett misslyckande returneras registrerar PAM ett required-fel och fortsätter att bearbeta stacken. Den här kontrollflaggan dokumenteras i direkthjälpen för pam.conf(4).

• Modulen pam_unix har flyttats och ersatts av en uppsättning servicemoduler med likvärdig eller bättre funktionalitet. Många av de här modulerna är nya för Solaris 9. Här är en lista över de ersättande modulerna:

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• Funktionerna i modulen pam_unix_auth har delats upp i två moduler. Modulen pam_unix_auth verifierar att lösenordet för användaren är korrekt. Den nya modulen pam_unix_cred tillhandahåller funktioner som upprättar användarreferensinformation.

• Tillägg i modulen pam_krb5 hanterar Kerberos-referenscachen via PAM-ramverket. Mer information finns i Kerberos-förbättringar.

Ändringar i pam_ldap

Följande ändringar i pam_ldap är nya för Solaris Express 10/04, utom kontohanteringsfunktionen. Den här hanteringsfunktionen är ny för Software Express pilotprogram och för Solaris 9 12/02. Mer information om de här ändringarna finns i direkthjälpen för pam_ldap(5).

• Alternativen use_first_pass och try_first_pass som stöddes tidigare är föråldrade fr.o.m. Solaris 10-programvaran. De här alternativen behövs inte längre. Du kan ta bort dem från pam.conf, och de ignoreras om du inte gör det.

• Fråga om lösenord måste tillhandahållas genom stapling av pam_authtok_get före pam_ldap i modulstaplarna för verifiering och lösenord, och genom att pam_passwd_auth inkluderas i stapeln passwd_service_auth.

• Den uppdateringsfunktion för lösenord som stöddes tidigare har i den här versionen ersatts med pam_authtok_store som används tillsammans med alternativet server_policy.

• Kontohanteringsfunktionen pam_ldap stärker den totala säkerheten för LDAP-namntjänsten. Funktionen för kontohantering gör närmare bestämt följande:

  • Erbjuder möjlighet till spårning av gamla och utgångna lösenord

  • Förhindrar användare från att välja alltför enkla eller tidigare använda lösenord

  • Varnar användare innan deras lösenord upphör att gälla

  • Stänger ute användare efter upprepade misslyckade inloggningsförsök

  • Förhindrar att andra användare än den behörige systemadministratören inaktiverar initierade konton

Det går inte att tillhandahålla en ren och automatisk uppdatering för ändringarna i den föregående listan. Därför innebär inte en uppgradering till Solaris 10 eller en senare version någon automatisk uppdatering av den befintliga pam.conf-filen för att återspegla pam_ldap-ändringarna. Om den befintliga pam.conf-filen innehåller en pam_ldap-konfiguration, meddelas du detta via upprensningsfilen efter uppgraderingen. Kontrollera pam.conf-filen och ändra den efter behov.

Mer information finns på följande ställen i direkthjälpen:

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Mer information om Solaris namn- och katalogtjänster finns i System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Mer information om Solaris säkerhetsfunktioner finns i System Administration Guide: Security Services.

Förbättringar av Solaris Secure Shell

Den här funktionsbeskrivningen är ny för Solaris Express 10/04.

Följande förbättringar av Solaris Secure Shell är tillgängliga i operativsystemet Solaris 10:

• Solaris Secure Shell baseras på OpenSSH 3.5p1. Solaris-implementeringen innehåller även funktioner och felkorrigeringar från äldre versioner än OpenSSH 3.8p1.

• Solaris Secure Shell stöder nu användningen av GSS-API för användar- och värdautentisering med Kerberos V.

  Stödet för PAM, inklusive stödet för tidsbegränsade lösenord, har förbättrats.

• Standardvärdet för X11-vidarebefordran är ja i konfigurationsfilen /etc/ssh/sshd.

• Chiffren ARCFOUR och AES128-CTR är nu tillgängliga. ARCFOUR kallas också RC4. AES-chiffret är AES i räknarläge.

• Information om fler förbättringar finns i beskrivningen för Bakgrundsprogrammet sshd och /etc/default/login.

Mer information om säkerhet i operativsystemet Solaris 10 finns i System Administration Guide: Security Services.

OpenSSL och OpenSSL PKCS#11

Den här funktionen är en nyhet i Solaris Express 8/04.

Den här versionen av Solaris innehåller OpenSSL-biblioteken och kommandona i /usr/sfw.

Den innhåller även ett gränssnitt för OpenSSL-motorn till PKCS#11 så att OpenSSL-användare får tillgång till kryptografiproviders för maskin- och programvaror från det kryptografiska ramverket för Solaris.

På grund av importrestriktioner för kryptografi i vissa länder är de kryptografiska algoritmerna för symmetriska nycklar begränsade till 128–bitar om SUNWcry-paketet inte är installerat. Paketet SUNWcry ingår inte i Solaris-programvaran. Det är i stället tillgängligt som en separat kontrollerad hämtning.

Bakgrundsprogrammet sshd och /etc/default/login

Den här funktionen är ny för Solaris Express 10/04.

Bakgrundsprogrammet sshd använder variablerna i /etc/default/login och kommandot login. Variablerna i etc/default/login kan åsidosättas med värden i sshd_config-filen.

Mer information finns i ”Solaris Secure Shell and Login Environment Variables” i System Administration Guide: Security Services. Se även direkthjälpen för sshd_config(4).

Nya lösenordsalternativ för icke-inloggningskonton och låsta konton

Den här funktionen är ny för Solaris Express 10/04.

Kommandot passwd har två nya alternativ, -N och -u. Alternativet -N skapar en lösenordspost för ett icke-inloggningskonto. Det här alternativet är användbart för konton som ingen ska logga in till men som måste köra cron-jobb. Alternativet -u låser upp ett tidigare låst konto.

Mer information finns i direkthjälpen för passwd(1).

Alternativet -setcond för kommandot auditconfig har flyttats

Den här funktionen är ny för Solaris Express 10/04.

Alternativet -setcond för kommandot auditconfig har tagits bort. Du kan tillfälligt inaktivera övervakning med kommandot audit -t. När du vill starta om övervakning använder du kommandot audit -s.

Granskningspolicyn perzone

Den här funktionen är en nyhet i Solaris Express 8/04.

Med granskningspolicyn perzone kan icke-globala zoner övervakas var och en för sig. Ett separat granskningsbakgrundsprogram körs i varje zon. Bakgrundsprogrammet använder övervakningskonfigurationsfiler som är specifika för zonen. Dessutom är övervakningskön specifik för zonen. Policyn är inaktiverad som standard.

Mer information finns i direkthjälpen för auditd(1M) och auditconfig(1M).

Kerberos-förbättringar

De här Kerberos-förbättringarna har inkluderats i Solaris 10. Flera av förbättringarna var nya i tidigare Software Express-versioner.

• Stöd för Kerberos-protokollet tillhandahålls i fjärrprogram som t.ex. ftp, rcp, rdist, rlogin, rsh och telnet. Mer information finns i direkthjälpen för respektive kommando och bakgrundsprogram, och i direkthjälpen för krb5_auth_rules(5).

• Kerberos-huvuddatabasen kan nu överföras med inkrementell uppdatering i stället för att hela databasen måste överföras varje gång. Med inkrementell propagering följer flera fördelar bl.a. de här:

  • Ökad databaskonsekvens över servrar

  • Mindre resurser krävs, exempelvis nätverks- och processorsresurser

  • Propagering av uppdateringar sker lägligare

  • En automatiserad propageringsmetod

• Med ett nytt skript kan du konfigurera en Kerberos-klient automatiskt. Med skriptet kan en administratör snabbt och lätt konfigurera Kerberos-klient. Procedurer som använder det nya skriptet beskrivs i kapitel 22, ”Configuring the Kerberos Service (Tasks)”, i System Administration Guide: Security Services. Mer information finns även i direkthjälpen för kclient(1M).

• Flera nya krypteringstyper har lagts till i Kerberos-tjänsten. Med de här nya krypteringstyperna ökar säkerheten och kompatibiliteten med andra Kerberos-implementeringar som stöder krypteringstyperna förbättras. Alla krypteringstyper finns dokumenterade i direkthjälpen för mech(4). Mer information finns i ”Using Kerberos Encryption Types” i System Administration Guide: Security Services. Krypteringstyperna ger följande funktioner:

  • Krypteringstypen AES kan användas för höghastighets- och högsäkerhetskryptering av Kerberos-sessioner. Det går att använda AES i hela det kryptografiska ramverket.

  • ARCFOUR-HMAC ger bättre kompatibilitet med andra Kerberos-versioner.

  • 3DES (Triple DES) med SHA1 ökar säkerheten. Den här krypteringstypen ökar också interoperabiliteten med andra Kerberos-implementeringar som stöder denna krypteringstyp.

• KDC-programvaran och kommandot kinit stöder nu användningen av nätverksprotokollet TCP. Det här tillägget ger en mer robust funktionalitet och bättre interoperabilitet med andra Kerberos-implementeringar. KDC ”lyssnar” nu på både de traditionella UDP-portarna och på TCP-portarna så att den kan svara på förfrågningar via båda protokollen. Kommandot kinit använder i första hand UDP när en begäran skickas till KDC. Om ett fel inträffar försöker kinit använda TCP.

• Stöd för IPv6 har lagts till i KDC-programvaran med kommandona kinit, klist och kprop. Stöd för IPv6-adresser ingår som standard. Du behöver inte ändra några konfigurationsparametrar för att aktivera det här stödet.

• Ett nytt -e-alternativ har lagts till för flera underkommandon till kadmin-kommandot. Med det här nya alternativet kan du välja krypteringstyp när du skapar klienter. Mer information finns i direkthjälpen för kadmin(1M).

• Tillägg i modulen pam_krb5 hanterar Kerberos-referenscachen via PAM-ramverket. Mer information finns i direkthjälpen för pam_krb5(5).

• Stöd finns för automatisk detektering av Kerberos KDC, administrationsservern, kpasswd-servern och värd- eller domänmappningar av typen namn-till-område som använder DNS-sökningar. Det här stödet tar bort en del av stegen på vägen för att installera en Kerberos-klient. Klienten kan lokalisera en KDC-server genom att använda DNS i stället för att läsa en konfigurationsfil. Mer information finns i direkthjälpen för krb5.conf(4).

• En ny PAM-modul som heter pam_krb5_migrate har introducerats. Den nya modulen underlättar den automatiska överflyttningen av användare till det lokala Kerberos-området om användarna inte redan har Kerberos-konton. Mer information finns i direkthjälpen för pam_krb5_migrate(5).

• Filen ~/.k5login kan nu användas tillsammans med GSS-program, ftp och ssh. Mer information finns i direkthjälpen för krb5_auth_rules(5).

• Verktyget kproplog har uppdaterats så att det visar alla attributnamn per loggpost. Mer information finns i direkthjälpen för kproplog(1M).

• Ett nytt konfigurationsfilsalternativ gör att den stränga verifieringsfunktionen TGT (Ticket Granting Ticket) valfritt kan konfigureras baserat på område. Mer information finns i direkthjälpen för krb5.conf(4).

• Tillägg i verktyg som används för lösenordsändringar gör att Solaris Kerberos V5-administrationsservern kan acceptera förfrågningar om lösenordsändringar från icke-Solaris-klienter. Mer information finns i direkthjälpen för kadmin(1M).

• Standardplatsen för repetitionscachen har flyttats från RAM-baserade filsystem till beständig lagring i /var/krb5/rcache/. Den nya platsen skyddar mot repetitioner om ett system startas om. Prestandaförbättringar har gjorts i rcache-koden. Sammantaget kan dock repetitionscachen vara långsammare på grund av den beständiga lagringen.

• Repetitionscachen kan nu konfigureras så att den använder fillager eller lager för endast minne. Mer information om miljövariabler som kan konfigureras för nyckeltabell- och kreditivcachetyper eller platser finns i direkthjälpen för krb5envvar(5).

• Kerberos GSS-mekanismen behöver inte längre GSS-kreditivtabellen. Mer information finns i direkthjälpsavsnitten för gsscred(1M), gssd(1M) och gsscred.conf(4).

• Kerberos-verktygen, kinit och ktutil, baseras nu på MIT Kerberos version 1.2.1. Den här ändringen innebär nya alternativ för kommandot kinit och nya underkommandon till ktutil-kommandot. Mer information finns i direkthjälpen för kinit(1) och ktutil(1).

• Solaris KDC (Kerberos Key Distribution Center) bygger nu på MIT Kerberos version 1.2.1. KDC använder nu som standard en btree-baserad databas som är mer pålitlig än den nuvarande hash-baserade databasen. Mer information finns i direkthjälpen för kdb5_util(1M). För Solaris 9-användare är den här ändringen ny för Solaris 9 12/03.

TCP-wrappers för rpcbind

Den här funktionen är ny för Solaris Express 4/04.

Stöd för TCP-wrappers har lagts till för kommandot rpcbind. Det här stödet innebär att administratörer kan begränsa anrop till rpcbind för utvalda värdar. Administratörer kan även logga alla anrop till rpcbind.

Mer information finns i direkthjälpen för rpcbind(1M).

Granskningssymbolen zonename och alternativ för granskningspolicyn

Partitioneringstekniken Solaris Zones är ny för Solaris Express 2/04. Mer information finns i Partitioneringstekniken Solaris Zones. De närliggande zonename-förbättringarna som beskrivs här introducerades också i Solaris Express 2/04.

Granskningssymbolen zonename registrerar namnet på zonen som granskningshändelsen inträffade i. Alternativet zonename audit policy bestämmer (för alla zoner) om zonename-symbolen inkluderas i alla granskningsposter. Om kriterierna för granskningsklassförvalet varierar mellan icke-globala zoner bör du analysera granskningsposterna per zon. Med granskningspolicyn zonename kan du i efterhand välja granskningsposter efter zon.

Se ”Auditing and Solaris Zones” i System Administration Guide: Security Services.

Mer information finns i direkthjälpsavsnitten för audit.log(4), auditconfig(1M) och auditreduce(1M). Se även ”Using Solaris Auditing in Zones” i System Administration Guide: Solaris Containers-Resource Management and Solaris Zones.

Användarkommandon för det kryptografiska ramverket för Solaris

Den här funktionen är ny för Solaris Express 1/04.

Kommandona digest, mac och encrypt innehåller nu ett alternativ som anger de tillgängliga algoritmerna för varje kommando. I utdata för kommandona mac och encrypt inkluderas nyckellängderna som varje algoritm accepterar. Alternativet -I <IV-file> har också tagits bort från kommandona encrypt och decrypt.

Mer information finns i kapitel 14, ”Solaris Cryptographic Framework (Tasks)” och ”Protecting Files With the Solaris Cryptographic Framework”, i System Administration Guide: Security Services.

Ytterligare information finns i direkthjälpsavsnitten för encrypt(1), digest(1) och mac(1).

Konfigurationsparametrar för IKE

Den här funktionen är ny för Solaris Express 1/04.

Återöverföringsparametrar och tidsgränsparametrar för paket har lagts till i filen /etc/inet/ike/config. Med parametrarna kan administratören justera inställningen för IKE Phase 1 (huvudläge). Justeringen innebär att Solaris IKE kan interoperera med plattformar som implementerar IKE-protokollet annorlunda. Parametrarna hjälper administratören att justera i händelse av störningar och hög trafikbelastning i nätverket.

Detaljerade beskrivningar av de här parametrarna finns i direkthjälpen för ike.config(4).

SASL (Simple Authentication and Security Layer)

Den här funktionen är ny för Solaris Express 12/03.

Med SASL (Simple Authentication and Security Layer) får programutvecklare gränssnitt för autentisering, dataintegritetskontroll och kryptering till anslutningsbaserade protokoll.

Mer information finns i SASL (Simple Authentication and Security Layer for Developers).

Se även kapitel 17, ”Using SASL”, i System Administration Guide: Security Services.

Granskningstid rapporteras nu i ISO 8601-format

Den här funktionen är ny för Solaris Express 12/03.

Fil- och rubriksymbolerna i granskningsposter rapporterar nu tid i ISO 8601-format. Exempelvis ser utdata från kommandot praudit för filsymbolen ut så här:

Gammal filsymbol:

file,Mon Oct 13 11:21:35 PDT 2003, + 506 msec, /var/audit/20031013175058.20031013182135.machine1

Ny filsymbol:

file,2003-10-13 11:21:35.506 -07:00, /var/audit/20031013175058.20031013182135.machine1

Gammal rubriksymbol:

header,173,2,settppriv(2),,machine1, Mon Oct 13 11:23:31 PDT 2003, + 50 msec

Ny rubriksymbol:

header,173,2,settppriv(2),,machine1, 2003-10-13 11:23:31.050 -07:00

XML-utdata har också ändrats. Utdata från t.ex. kommandot praudit -x formaterar filsymbolen enligt följande:

<file iso8601="2003-10-13 11:21:35.506 -07:00">
/var/audit/20031013175058.20031013182135.machine1</file>

Anpassade skript och verktyg som analyserar praudit-utdata kan behöva uppdateras med den här ändringen.

Mer information finns i kapitel 27, ”Solaris Auditing (Overview)” och ”Changes to Solaris Auditing for the Solaris 10 Release”, i System Administration Guide: Security Services.

BART (Basic Audit and Reporting Tool)

Den här funktionen är ny för Solaris Express 11/03.

BART (Basic Audit and Reporting Tool) är ett kommandoradsverktyg som gör att OEM-leverantörer, avancerade användare och systemadministratörer kan kontrollera programvaruinnehållet på ett målsystem på filnivå. Verktyget används för att samla information om vad som är installerat på ett system. Med BART kan du även jämföra installerade system och innehållet i ett system över tid.

Mer information finns i kapitel 5, ”Using the Basic Audit Reporting Tool (Tasks)”, i System Administration Guide: Security Services.

Se även direkthjälpsavsnitten för bart_manifest(4), bart_rules(4) och bart(1M).

IPsec och det kryptografiska ramverket för Solaris

Den här funktionen är ny för Solaris Express 9/03.

IPsec använder det kryptografiska ramverket för Solaris i stället för egna krypterings- och autentiseringsmoduler. Modulerna är optimerade för SPARC-plattformen. Dessutom finns ett nytt kommandoradsverktyg, ipsecalgs, och API:er som ställer frågor till listan med IPsec-algoritmer och andra IPsec-egenskaper som stöds.

Mer information finns i direkthjälpen för ipsecalgs(1M).

I System Administration Guide: IP Services kan du läsa kapitel 18, ”IP Security Architecture (Overview)” och ”Authentication and Encryption Algorithms in IPsec”.

Det kryptografiska ramverket för Solaris för systemadministratörer

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

Det kryptografiska ramverket för Solaris innehåller kryptografiska tjänster för program i Solaris-miljön. Systemadministratören kontrollerar vilka krypteringsalgoritmer som kan användas via kommandot cryptoadm. Med kommandot cryptoadm kan du utföra följande funktioner:

• Hantera tillgängliga leverantörer för kryptografiska tjänster

• Ange kryptografisk säkerhetspolicy, t.ex. inaktivera algoritmer från en viss leverantör

Ramverket levereras med insticksprogram för algoritmerna AES, DES/3DES, RC4, MD5, SHA-1, DSA, RSA och Diffie-Hellman. Det går att ta bort och lägga till insticksprogram efter behov.

Kommandona encrypt, decrypt, digest och mac använder kryptografiska algoritmer från ramverket.

Mer information finns i kapitel 13, ”Solaris Cryptographic Framework (Overview)”, i System Administration Guide: Security Services.

Se även direkthjälpen (man pages) för följande:

• cryptoadm(1M)

• kcfd(1M)

• libpkcs11(3LIB)

• pkcs11_kernel(5)

• pkcs11_softtoken(5)

Fjärrgranskningslogg

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

I Solaris kan du utöver att registrera granskningshändelser i den binära granskningsloggen även registrera granskningshändelser i syslog.

För den här generationen syslogdata kan du använda samma hanterings- och analysverktyg som är tillgängliga för syslogmeddelanden från en mängd Solaris- och icke-Solarismiljöer, inklusive arbetsstationer, servrar, brandväggar och routrar. Genom att använda syslog.conf för att dirigera granskningsmeddelanden till fjärrlagring skyddar du loggdata från att ändras eller tas bort av obehöriga användare. Syslogalternativet ger dock bara en sammanfattning av data i granskningsposten. Lägg märke till att när syslogdata lagras på ett fjärrsystem är de sårbara för nätverksattacker, exempelvis DOS-attacker och falska eller ”spoofade” källadresser.

Mer information finns i kapitel 27, ”Solaris Auditing (Overview)” och ”Audit Files”, i System Administration Guide: Security Services.

Se även direkthjälpen (man pages) för följande:

• audit(1M)

• audit.log(4)

• audit_control(4)

• audit_syslog(5)

• syslog(3C)

• syslog.conf(4)

FTP-serverförbättringar

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

I FTP-servern har förbättringar av skalbarhet och överföringsloggning gjorts, bl.a.:

• Funktionen sendfile() används för binära hämtningar.

• Nya funktioner stöds i ftpaccess-filen:

  • flush-wait kontrollerar vad som händer i slutet av en hämtning eller kataloglistning.

  • ipcos anger IP-klassen för tjänsten, antingen för kontrollen eller dataanslutningen.

  • passive ports kan konfigureras så att kärnan väljer vilken TCP-port som ska avlyssnas.

  • quota-info aktiverar hämtning av kvotinformation.

  • recvbuf anger buffertstorleken för mottagna data (skickade) som används för binära överföringar.

  • rhostlookup tillåter eller nekar sökning efter fjärrvärdens namn.

  • sendbuf anger buffertstorleken för skickade data (hämtade) som används för binära överföringar.

  • xferlog format anpassar formatet för överföringsloggposter.

• Ett nytt -4-alternativ gör att FTP-servern bara lyssnar efter anslutningar på en IPv4-sockel när den körs i självständigt läge.

FTP-klienten och FTP-servern stöder numera Kerberos. Mer information finns i direkthjälpen för ftp(4) och i ”Kerberos User Commands” i System Administration Guide: Security Services.

Dessutom stöder nu ftpcount och ftpwho alternativet -v, som visar antal användare och processinformation för FTP-serverklasser som definieras i virtuella ftpaccess-värdfiler.

Mer information om de här ändringarna finns i följande direkthjälpsavsnitt:

• in.ftpd(1M)

• ftpaccess(4)

• ftpcount(1)

• ftpwho(1)

• sendfile(3EXT)

FTP-klienten

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

Solaris innehåller en ändring av FTP-klienten. Som standard listar en Solaris FTP-klient, ansluten till en Solaris FTP-server, kataloger och enkla filer när kommandot ls utfärdas. Om FTP-servern inte körs i operativsystemet Solaris är det inte säkert att katalogerna listas.

Om du vill att standardbeteendet för Solaris ska gälla även FTP-servrar på icke-Solaris-plattformar, kan du redigera filen /etc/default/ftp på varje Solaris-klient. Om du vill göra ändringen för enskilda användare anger du miljövariabeln FTP_LS_SENDS_NLST.

Mer information finns i direkthjälpen för ftp(4).

FTP-klienten och FTP-servern stöder numera Kerberos. Mer information finns i direkthjälpen för ftp(4) och i ”Kerberos User Commands” i System Administration Guide: Security Services.

IKE (Internet Key Exchange)-nyckellagring på ett Sun Crypto Accelerator 4000-kort

Den här funktionen är ny för Software Express pilotprogram och för Solaris 9 12/03. Den här funktionen ingår i Solaris 10 3/05.

IKE kan köras på både IPv6- och IPv4-nätverk. Information om nyckelord som är specifika för IPv6-implementeringen finns i direkthjälpen för ifconfig(1M) och ike.config(4).

När du ansluter ett Sun Crypto Accelerator 4000-kort kan IKE avlasta beräkningsintensiva åtgärder till kortet vilket frigör operativsystemet för andra uppgifter. IKE kan även använda kortet för att lagra offentliga och privata nycklar och offentliga certifikat. Om du lagrar nycklarna på en separat maskinvara ökar säkerheten.

Mer information finns i direkthjälpen för ikecert(1M).

Se även följande avsnitt i System Administration Guide: IP Services.

• ”IP Security Architecture (Overview)”

• ”Internet Key Exchange (Overview)”

• ”IKE and Hardware Storage”

• ”Configuring IKE (Tasks)”

• ”Configuring IKE to Find Attached Hardware”

Acceleration i IKE-maskinvara

Den här funktionen är ny för Software Express pilotprogram och för Solaris 9 4/03. Den här funktionen ingår i Solaris 10 3/05.

Du kan accelerera operationer för offentliga nycklar i IKE med ett Sun Crypto Accelerator 1000-kort eller Sun Crypto Accelerator 4000-kort. Åtgärderna lastas av på kortet. Avlastningen accelererar krypteringen och minskar belastningen på operativsystemets resurser.

Information om IKE finns i följande avsnitt i System Administration Guide: IP Services:

• ”Configuring IKE to Find Attached Hardware”

• ”Internet Key Exchange (Overview)”

• ”IKE and Hardware Acceleration”

• ”Configuring IKE (Tasks)”

• ”Configuring IKE to Find Attached Hardware”

Förbättringar av ipseckey

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

För nätverksadministratörer som har installerat IPsec eller IKE på sina system ger ipseckey-tolken tydligare hjälp. Kommandot ipseckey monitor tillhandahåller nu en tidsangivelse för varje händelse.

Mer information finns i direkthjälpen för ipseckey(1M).

Propagering av kreditiv över vändslingeanslutningar

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

I den här Solaris-versionen introduceras ucred_t * som en abstrakt representation av kreditiven i en process. De här kreditiven kan hämtas med door_ucred() på door-servrar, och med getpeerucred() för vändslingeanslutningar. Kreditiven kan tas emot med recvmsg().

Mer information finns i direkthjälpen för socket.h(3HEAD).

Granskningshuvudsymbolen innehåller värdinformation

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

Huvudsymbolen i granskningsposter har utökats med namnet på värden.

Det gamla huvudet visades så här:

header,131,4,login - local,,Wed Dec 11 14:23:54 2002, + 471 msec

Det nya utökade huvudet visas så här:

header,162,4,login - local,,example-hostname,
Fri Mar 07 22:27:49 2003, + 770 msec

Anpassade skript och verktyg som analyserar praudit-utdata kan behöva uppdateras med den här ändringen.

Mer information finns i kapitel 30, ”Solaris Auditing (Reference)” och ”header Token”, i System Administration Guide: Security Services.

Övervakningsförbättringar

Den här funktionen är ny för Software Express pilotprogram och för Solaris 9 8/03. Den här funktionen ingår i Solaris 10 3/05.

De förbättrade övervakningsfunktionerna i Solaris minskar störningar i spåret och ger administratörer tillgång till XML-skript att analysera spåret med. Förbättringarna inkluderar följande:

• Skrivskyddshändelser för offentliga filer övervakas inte längre. Med policy-flaggan public för kommandot auditconfig styrs om offentliga filer ska övervakas eller inte. Om du inte övervakar offentliga objekt minskas övervakningsspåret markant. Det blir därmed lättare att övervaka försök att läsa känsliga filer.

• Kommandot praudit har ytterligare ett utdataformat, XML. XML-formatet gör att utdata kan läsas i en webbläsare och tillhandahåller en källa för XML-skript för rapporter. Mer information finns i direkthjälpen för praudit(1M).

• Standarduppsättningen av övervakningsklasser har strukturerats om. Övervakningsmetaklasser tillhandahåller stöd för mer specifika övervakningsklasser. Information finns i direkthjälpen för audit_class(4).

• Tangentkombinationen Stop-A inaktiveras inte längre av kommandot bsmconv. Händelsen Stop-A övervakas nu för att bevara säkerheten.

Mer information finns i följande avsnitt i System Administration Guide: Security Services:

• ”Solaris Auditing (Reference)”

• ”Definitions of Audit Classes”

• ”praudit Command”

• ”Solaris Auditing (Overview)”

• ”Audit Terminology and Concepts”

• ”Changes to Solaris Auditing for the Solaris 10 Release”

Ny granskningssymbol, path_attr

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

Granskningssymbolen path_attr innehåller sökvägsinformation för ett objekt. Sökvägen anger sekvensen med attributfilsobjekt nedanför sökvägssymbolen. Systemanrop som exempelvis openat() kommer åt attributfiler. Mer information om utökade filattribut finns i direkthjälpen för fsattr(5).

Symbolen path_attr har tre fält:

• Ett token-ID-fält som identifierar den här symbolen som en path_attr-symbol

• Ett antal som motsvarar antalet sektioner med attributfilssökvägar

• En eller flera null-avslutade strängar

Kommandot praudit visar path_attr-symbolen så här:

path_attr,1,attr_file_name

Mer information finns i kapitel 30, ”Solaris Auditing (Reference)” och ”path_attr Token”, i System Administration Guide: Security Services.

Kontroll mot gamla lösenord

Den här funktionen är ny för Software Express pilotprogram. Den här funktionen ingår i Solaris 10 3/05.

För inloggningskonton som definieras i lokala filer går det att aktivera gamla lösenord upp till 26 ändringar bakåt. En användare kan inte ändra lösenordet till ett lösenord som matchar något av de gamla lösenorden. Det går även att inaktivera kontrollen av inloggningsnamn.

Mer information finns i direkthjälpen för passwd(1).

Förbättrad crypt()-funktion

Den här funktionen är ny för Software Express pilotprogram och för Solaris 9 12/02. Den här funktionen ingår i Solaris 10 3/05.

Lösenordskryptering skyddar lösenord från obehöriga användare. Tre kraftfulla krypteringsmoduler för lösenord är nu tillgängliga i programmet:

• En Blowfish-version som är kompatibel med BSD-system (Berkeley Software Distribution)

• En version av Message Digest 5 (MD5) som är kompatibel med BSD- och Linux-system.

• En kraftfullare version av MD5 som är kompatibel med andra Solaris-system

Information om hur du skyddar dina användarlösenord med de här nya krypteringsmodulerna finns i följande avsnitt i System Administration Guide: Security Services:

• ”Controlling Access to Systems (Tasks)”

• ”Managing Machine Security (Overview)”

• ”Changing the Default Algorithm for Password Encryption”

Information om kraften i de här modulerna finns i direkthjälpsavsnitten crypt_bsdbf(5), crypt_bsdmd5(5) och crypt_sunmd5(5).