test

Nyheter i operativmiljön Solaris 9

Säkerhetsförbättringar

Beskrivning av funktionerna  

Frisläppningsdatum  

IKE-protokollet (Internet Key Exchange)

IKE (Internet Key Exchange) automatiserar nyckelhanteringen i IPsec. IKE ersätter manuell nyckeltilldelning och uppdatering i IPv4-nätverk, vilket betyder att administratörer kan hantera fler säkra nätverk. 

Systemadministratörer använder IPsec för att konfigurera säkra IPv4-nätverk. Bakgrundsprogrammet in.iked står för nyckelhärledning, verifiering och verifieringsskydd vid start. Bakgrundsprogrammet kan konfigureras. Administratören anger parametrarna i en konfigurationsfil. När parametrarna har angetts krävs ingen mer manuell uppdatering.

Mer information finns i "Internet Key Exchange" in System Administration Guide: IP Services.

Solaris 9  

Säker skal i Solaris

Med säkert skal kan användare upprätta en säker anslutning till en fjärrvärd över ett nätverk som inte behöver vara säkert. Dataöverföringar och användares interaktiva nätverkssessioner skyddas från avlyssning eller sessionsövertagning samt att en tredje part leder om sessionen via sig själv. Säker skal i Solaris 9 stöder protokollversionerna SSHv1 och SSHv2. Kraftfull verifiering, baserad på kryptering med allmänna nycklar, ingår. X Windows-systemet och andra nätverkstjänster kan kapslas in i säkra skalanslutningar för ytterligare skydd. 

Servern för säkert skal, sshd, stöder övervakning och filtrering av inkommande förfrågningar om nätverkstjänster. Servern kan konfigureras så att klientvärdnamnet för inkommande förfrågningar loggas, vilket ger högre nätverkssäkerhet. Kommandot sshd fungerar på liknande sätt som verktyget Tcp-wrappers 7.6 som beskrivs i "Gratisprogram".

Mer information finns i direkthjälpen för sshd(1M), hosts_access(4) och hosts_options(4).

Solaris 9 

Kerberos Key Distribution Center (KDC) och administrativa verktyg

Systemadministratörer kan öka systemsäkerheten med hjälp av verifierings-, sekretess- och integritetsskyddet i Kerberos V5. NFS kan till exempel skyddas med Kerberos V5. 

Här följer en förteckning över viktiga nya funktioner i Kerberos V5.

  • Kerberos V5 Server - I servern ingår följande komponenter:

    • Principbaserat administrationssystem (för användare) - Här ingår en centraliserad server för lokal administration respektive fjärradministration av behöriga klienter och säkerhetsprinciper

      Systemet innehåller ett adminstrationsverktyg med ett grafiskt gränssnitt samt ett med kommandoradsgränssnitt.

    • Key Distribution Center (KDC) - Använder informationen i databasen över behöriga klienter som skapats av administrationsservern och delar ut biljetter till klienter

    • Replikeringssystem för databaser över behöriga klienter - Duplicerar KDC-databasen till en backupserver

  • Lösenordsutbytbarhet mellan MIT och Microsoft Windows 2000 - Kerberos V5-lösenord kan nu ändras från en Solaris-klient till en MIT Kerberos-server och Windows 2000.

  • Anpassad DES - DES-kerneloperationer i Kerberos V5 har optimerats för Sun4u-system.

  • Kerberos krypterade kommunikation stöds nu i Solaris - I Solaris 9 finns det en krypteringsmodul som stöder Kerberos krypterade kommunikation. Tidigare fanns bara krypteringsmodulen tillgänglig på cd-rom-skivan med Solaris Encryption Kit eller via nedladdning från webben.

  • Biljetter utan adresser - Systemadministratörer och användare kan nu ange biljetter utan adresser. Detta kan vara nödvändigt i miljöer med fleranslutna nätverk och NAT-nätverk.

  • Kerberos V5 PAM-modulen stöder tidsbegränsat lösenord - pam_krb5-modulen stöder tidsbegränsat lösenord som anges i KDC för varje användarklient.

Mer information finns i "Administering the Kerberos Database" in System Administration Guide: Security Services.

Solaris 9 

Säker LDAP-klient

Solaris 9 innehåller nya funktioner för LDAP-klientbaserad säkerhet. Ett nytt LDAP-bibliotek har SSL- (TLS) och CRAM-MD5-krypteringsmekanismer. Dessa krypteringsmekanismer gör att kunder kan använda krypteringsmetoder via nätet mellan LDAP-klienter och LDAP-servern.  

Mer information om iPlanet Directory Server 5.1, LDAP-katalogservern, finns i "Nätverkshantering".

Solaris 9 

Krypteringsmoduler för IP-säkerhet och Kerberos

I Solaris 9 ingår kryptering med en maximal nyckellängd på 128 bitar. Tidigare var bara krypteringsmodulen tillgänglig på cd-rom-skivan med Solaris Encryption Kit eller via nedladdning från webben. Många av dessa algoritmer finns nu i operativmiljön Solaris 9. Algoritmerna inkluderar 56-bitars DES-sekretesstöd för Kerberos och 56-bitars DES- och tre-nyckels Triple-DES-stöd för IP-säkerhet.  

Obs!

Stöd för starkare kryptering än 128 bitar med IPsec finns tillgängligt för Solaris 9 på cd-rom-skivan Solaris Encryption Kit eller via nedladdning från webben. IPsec stöder 128-bitars, 192-bitars och 256-bitars AES (Advanced Encryption Standard), och 32- till 448-bitars Blowfish (i steg om 8 bitar).

Mer information om IPsec finns i "IPsec (Overview)" in System Administration Guide: IP Services. Mer information om Kerberos-stöd finns i "Introduction to SEAM" in System Administration Guide: Security Services.

Solaris 9 

IP-säkerhetsarkitektur för IPv6

Säkerhetsramverket IPsec har förbättrats i Solaris 9 och stöder nu säker överföring av IPv6-datagram mellan datorer. I Solaris 9 går det bara att använda manuella nycklar tillsammans med IPsec för IPv6. 

Obs!

IP-säkerhet för IPv4 introducerades i Solaris 8. IKE-protokollet (Internet Key Exchange) finns tillgängligt för IPv4.

Mer information finns i "IPsec (Overview)" in System Administration Guide: IP Services.

Solaris 9 

RBAC-förbättringar (Role-Based Access Control)

RBAC-databaser (Role-based access control) kan hanteras via det grafiska gränssnittet i Solaris Management Console. Rättigheter kan nu tilldelas som standard i filen policy.conf. Dessutom kan rättigheter innehålla andra rättigheter. Mer information om RBAC finns i "Rollbaserad åtkomstkontroll".

Mer information finns i "Role-Based Access Control (Overview)" in System Administration Guide: Security Services.

Solaris 8 1/01 

Säkerhetsalternativ för X-serveranslutning

Nya alternativ gör att systemadministratörer har möjlighet att tillåta endast krypterade anslutningar till Solaris X server. Mer information finns i "Xserver-funktioner".

Solaris 9 

GSS-API (Generic Security Services Application Programming Interface)

GSS-API (Generic Security Services Application Programming Interface) är ett ramverk för säkerhet som skyddar de data som programmen skickar. Med GSS-API får programmen verifierings-, integritets- och sekretesstjänster. Gränssnittet gör att programmen kan ses som helt generiska med avseende på säkerhet. Det betyder att den underliggande plattform (t ex Solaris) eller säkerhetsmekanism (t ex Kerberos) som används inte behöver vara känd. Programmen som använder GSS-API blir därmed i högsta grad flyttbara. 

Mer information finns i GSS-API Programming Guide.

Solaris 8 6/00 

Ytterligare säkerhetsprogramvara

Mer information om SunScreen TM 3.2, som är en brandväggsprodukt, finns i "Ytterligare programvara".

Se även "Gratisprogram" om du vill ha information om Tcp-wrappers 7.6-gratisprogramvaran i Solaris 9. Tcp-wrappers 7.6 är små bakgrundsprogram som övervakar och filtrerar inkommande frågor om nätverkstjänster.

Solaris 9