Verbesserte Sicherheitsfunktionen

Verbesserungen der Prüffunktionen

Die Verbesserungen der Prüffunktionen in dieser Version von Solaris reduzieren die Störungen im Prüfpfad und ermöglichen den Einsatz von XML-Scripting für eine Analyse des Pfads. Dabei handelt es sich um folgende Verbesserungen:

• Öffentliche Dateien werden nicht mehr auf schreibgeschützte Ereignisse geprüft. Das Richtlinienflag public für den Befehl auditconfig regelt die Prüfung von öffentlichen Dateien. Wenn öffentliche Objekte nicht geprüft werden, verkürzt sich der Prüfpfad erheblich. Etwaige Versuche, auf wichtige Dateien zuzugreifen, lassen sich folglich leichter überwachen.

• Für den Befehl praudit steht XML als zusätzliches Ausgabeformat zur Verfügung. XML bedeutet, dass die Ausgabe auch in einem Browser gelesen und als Quelle für das XML-Scripting zur Berichterstellung genutzt werden kann. Siehe hierzu die Manpage praudit (1M).

• Der Standardsatz der Prüfklassen wurde umstrukturiert. Übergeordnete Metaklassen bieten Unterstützung für spezifischere Prüfklassen (audit classes). Siehe hierzu die Manpage audit_class(4).

• Die Taste Stop-A wird durch den Befehl bsmconv nicht mehr deaktiviert. Das Stop-A-Ereignis wird nun einer Sicherheitsprüfung unterzogen.

Weitere Informationen finden Sie in System Administration Guide: Security Services.

SmartCard-Terminalschnittstellen

Solaris-SmartCard-Schnittstellen sind ein Satz öffentlicher Schnittstellen für SmartCard-Terminals. Siehe hierzu SmartCard-Terminalschnittstellen.

Internet Key Exchange (IKE)-Hardwarebeschleunigung

Operationen mit öffentlichen Schlüsseln (public keys) im Rahmen von IKE lassen sich mit einer Sun ^TM Crypto Accelerator 1000-Karte beschleunigen. Die Abwicklung der Operationen wird ganz der Karte überlassen. Diese Übernahme bewirkt eine schnellere Verschlüsselung und eine Entlastung der Betriebssystemressourcen.

Informationen zu IKE entnehmen Sie bitte dem Dokument IPsec and IKE Administration Guide.

Verbesserte crypt()-Funktion

Durch die Passwortverschlüsselung werden Passwörter vor dem Ausspähen geschützt. Die Software stellt nun drei starke Verschlüsselungsmodule zur Verfügung:

• Eine mit BSD-Systemen (Berkeley Software Distribution) kompatible Version von Blowfish

• Eine mit BSD- und Linux-Systemen kompatible Version von Memory Digest 5 (MD5)

• Eine stärkere Version von MD5, die mit anderen Solaris 9-Systemen kompatibel ist.

Wie Sie Ihre Benutzerpasswörter mit diesen neuen Verschlüsselungsmodulen schützen können, erfahren Sie in System Administration Guide: Security Services. Hinweise zur Stärke der Module entnehmen Sie bitte den Manpages crypt_bsdbf( 5), crypt_bsdmd5( 5) und crypt_sunmd5( 5).

Passwortverwaltungsfunktion in pam_ldap

Die Passwortverwaltungsfunktion pam_ldap erhöht die Gesamtsicherheit des LDAP-Namenservice beim gemeinsamen Einsatz mit Sun ONE Directory Server (zuvor iPlanet Directory Server). Insbesondere nimmt die Passwortverwaltungsfunktion Folgendes vor:

• Nachverfolgung von Passwortalterung und -gültigkeitsablauf

• Hindert Benutzer an der Auswahl zu einfacher oder zuvor bereits verwendeter Passwörter

• Warnt Benutzer vor dem bevorstehenden Ablauf der Passwortgültigkeit

• Sperrt Benutzer nach wiederholten Anmeldefehlversuchen

• Verhindert, dass Benutzer außer dem autorisiserten Systemadministrator initialisierte Konten deaktivieren können.

Weitere Informationen zu den Namen- und Verzeichnisdiensten von Solaris finden Sie in System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Informationen zu den Solaris-Sicherheitsfunktionen finden Sie in System Administration Guide: Security Services.

Verbesserung von PAM (Pluggable Authentication Module)

Das PAM-System wurde um ein neues Steuerflag erweitert. Das neue Steuerflag bietet die Möglichkeit, eine zusätzliche Stack-Verarbeitung zu überspringen. Eine derartige Auslassung ist dann möglich, wenn das aktuelle Dienstmodul erfolgreich ist und die vorherigen obligatorischen Module keine Fehler generiert haben.

Weitere Informationen zu dieser Änderung finden Sie in System Administration Guide: Security Services.