Verbesserte Sicherheitsfunktionen
Die Solaris-Software umfasst nun die folgenden Sicherheitsverbesserungen: Die Leistungsmerkmale Kerberos-Verbesserungen und Internet Key Exchange (IKE)-Schlüsselspeicherung auf der Sun Crypto Accelerator 4000-Karte wurden mit Solaris 9 12/03 eingeführt. Diese Leistungsmerkmale für die Sicherheit wurden mit früheren Versionen eingeführt:
Kerberos-Verbesserungen
Dieses Leistungsmerkmal wurde mit Solaris 9 12/03 eingeführt.
Solaris Kerberos Key Distribution Center (KDC) baut jetzt auf MIT Kerberos Version 1.2.1 auf. KDC verwendet nun standardmäßig eine btree-basierte Datenbank, die zuverlässiger ist als die aktuelle Hash-basierte Datenbank.
Weitere Informationen entnehmen Sie bitte der Manpage kdc.conf(4).
Internet Key Exchange (IKE)-Schlüsselspeicherung auf der Sun Crypto Accelerator 4000-Karte
Dieses Leistungsmerkmal wurde mit Solaris 9 12/03 eingeführt.
IKE kann sowohl in IPv6- als auch in IPv4-Netzwerken eingesetzt werden. Informationen zu Schlüsselwörtern, die nur für die IPv6-Implementierung gelten, finden Sie in den Manpages ifconfig (1M) und ike.config(4).
Ist eine SunTM Crypto Accelerator 4000-Karte angeschlossen, können rechenintensive Operationen durch IKE auf diese Karte ausgelagert werden. Das Betriebssystem wird dadurch für andere Vorgänge verfügbar. Außerdem kann IKE auf dieser Karte öffentliche und private Schlüssel sowie öffentliche Zertifikate speichern. Die Speicherung von Schlüsseln auf separater Hardware stellt eine zusätzliche Sicherheit dar.
Weitere Informationen entnehmen Sie bitte dem Dokument IPsec and IKE Administration Guide und der Manpage ikecert(1M).
Internet Key Exchange (IKE)-Hardwarebeschleunigung
Dieses Leistungsmerkmal wurde mit Solaris 9 4/03 eingeführt.
Operationen mit öffentlichen Schlüsseln (public keys) im Rahmen von IKE lassen sich mit einer Sun Crypto Accelerator 1000-Karte beschleunigen. Die Abwicklung der Operationen wird ganz der Karte überlassen. Diese Übernahme bewirkt eine schnellere Verschlüsselung und eine Entlastung der Betriebssystemressourcen.
Informationen zu IKE entnehmen Sie bitte dem Dokument IPsec and IKE Administration Guide.
Verbesserungen der Prüffunktionen
Dieses Leistungsmerkmal wurde mit Solaris 9 8/03 eingeführt.
Die Verbesserungen der Prüffunktionen in dieser Version von Solaris reduzieren die Störungen im Prüfpfad und ermöglichen den Einsatz von XML-Scripting für eine Analyse des Pfads. Dabei handelt es sich um folgende Verbesserungen:
-
Öffentliche Dateien werden nicht mehr auf schreibgeschützte Ereignisse geprüft. Das Richtlinienflag public für den Befehl auditconfig regelt die Prüfung von öffentlichen Dateien. Wenn öffentliche Objekte nicht geprüft werden, verkürzt sich der Prüfpfad erheblich. Etwaige Versuche, auf wichtige Dateien zuzugreifen, lassen sich folglich leichter überwachen.
-
Für den Befehl praudit steht XML als zusätzliches Ausgabeformat zur Verfügung. XML bedeutet, dass die Ausgabe auch in einem Browser gelesen und als Quelle für das XML-Scripting zur Berichterstellung genutzt werden kann. Siehe hierzu die Manpage praudit (1M).
-
Der Standardsatz der Prüfklassen wurde umstrukturiert. Übergeordnete Metaklassen bieten Unterstützung für spezifischere Prüfklassen (audit classes). Siehe hierzu die Manpage audit_class(4).
-
Die Taste Stop-A wird durch den Befehl bsmconv nicht mehr deaktiviert. Das Stop-A-Ereignis wird nun einer Sicherheitsprüfung unterzogen.
Weitere Informationen finden Sie in System Administration Guide: Security Services.
SmartCard-Terminalschnittstellen
Dieses Leistungsmerkmal wurde mit Solaris 9 8/03 eingeführt.
Solaris-SmartCard-Schnittstellen sind ein Satz öffentlicher Schnittstellen für SmartCard-Terminals. Siehe hierzu SmartCard-Schnittstellen.
Verbesserte crypt()-Funktion
Dieses Leistungsmerkmal wurde mit Solaris 9 12/02 eingeführt.
Durch die Passwortverschlüsselung werden Passwörter vor dem Ausspähen geschützt. Die Software stellt nun drei starke Verschlüsselungsmodule zur Verfügung:
-
Eine mit BSD-Systemen (Berkeley Software Distribution) kompatible Version von Blowfish
-
Eine mit BSD- und Linux-Systemen kompatible Version von Message Digest 5 (MD5)
-
Eine stärkere Version von MD5, die mit anderen Solaris-Systemen kompatibel ist.
Wie Sie Ihre Benutzerpasswörter mit diesen neuen Verschlüsselungsmodulen schützen können, erfahren Sie in System Administration Guide: Security Services. Hinweise zur Stärke der Module entnehmen Sie bitte den Manpages crypt_bsdbf( 5), crypt_bsdmd5( 5) und crypt_sunmd5( 5).
Passwortverwaltungsfunktion in pam_ldap
Dieses Leistungsmerkmal wurde mit Solaris 9 12/02 eingeführt.
Die Passwortverwaltungsfunktion pam_ldap erhöht die Gesamtsicherheit des LDAP-Namenservice beim gemeinsamen Einsatz mit Sun ONE Directory Server (zuvor iPlanetTM Directory Server). Insbesondere nimmt die Passwortverwaltungsfunktion Folgendes vor:
-
Nachverfolgung von Passwortalterung und -gültigkeitsablauf
-
Hindert Benutzer an der Auswahl zu einfacher oder zuvor bereits verwendeter Passwörter
-
Warnt Benutzer vor dem bevorstehenden Ablauf der Passwortgültigkeit
-
Sperrt Benutzer nach wiederholten Anmeldefehlversuchen
-
Verhindert, dass Benutzer außer dem autorisiserten Systemadministrator initialisierte Konten deaktivieren können.
Weitere Informationen zu den Namen- und Verzeichnisdiensten von Solaris finden Sie in System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Informationen zu den Solaris-Sicherheitsfunktionen finden Sie in System Administration Guide: Security Services.
Verbesserung von PAM (Pluggable Authentication Module)
Dieses Leistungsmerkmal wurde mit Solaris 9 12/02 eingeführt.
Das PAM-System wurde um ein neues Steuerflag erweitert. Das neue Steuerflag bietet die Möglichkeit, eine zusätzliche Stack-Verarbeitung zu überspringen. Eine derartige Auslassung ist dann möglich, wenn das aktuelle Dienstmodul erfolgreich ist und die vorherigen obligatorischen Module keine Fehler generiert haben.
Weitere Informationen zu dieser Änderung finden Sie in System Administration Guide: Security Services.
- © 2010, Oracle Corporation and/or its affiliates