Sécurité

Le logiciel Solaris intègre les améliorations de sécurité suivantes :

• Niveau de sécurité de sadmind optimisé

• Améliorations apportées à Kerberos

• Mémoire de clés IKE (Internet Key Exchange) sur la carte Sun Crypto Accelerator 4000

• Accélération du matériel IKE (Internet Key Exchange)

• Améliorations apportées à l'audit

• Interfaces de terminal à carte intelligente

• Améliorations apportées à la fonction crypt()

• Fonction de gestion des mots de passe dans pam_ldap

• Améliorations apportées au PAM (module d'authentification enfichable)

Niveau de sécurité de sadmind optimisé

Pour améliorer la sécurité avec la commande sadmind, le niveau de sécurité par défaut a été augmenté à 2 (DES). Si vous n'avez pas besoin de sadmind, mettez en commentaire l'entrée du fichier inetd.conf .

Pour de plus amples informations, consultez la page de manuel sadmind(1M).

Améliorations apportées à Kerberos

Cette fonction est nouvelle dans la version Solaris 9 12/03.

Le KDC (Solaris Kerberos Key Distribution Center) est désormais basé sur MIT Kerberos version 1.2.1. Il utilise désormais par défaut la base de données btree, plus fiable que l'actuelle base de données basée sur le hachage.

Reportez-vous à la page de manuel kdc.conf(4) pour en savoir plus.

Mémoire de clés IKE (Internet Key Exchange) sur la carte Sun Crypto Accelerator 4000

Cette fonction est nouvelle dans la version Solaris 9 12/03.

IKE fonctionne sur les réseaux IPv6 et IPv4. Pour de plus amples informations sur les mots-clés spécifiques à l'implémentation IPv6, reportez-vous aux pages du manuel ifconfig(1M) et ike.config(4).

Lorsqu'une carte Sun^TM Crypto Accelerator 4000 est installée, IKE peut décharger des opérations à forte intensité de calcul sur la carte, libérant ainsi le système d'exploitation pour d'autres tâches. IKE peut également utiliser la carte installée pour stocker des clés publiques, des clés privées et des certificats publics. Le stockage de clés sur du matériel séparé permet une sécurité accrue.

Pour de plus amples informations, reportez-vous au document IPsec and IKE Administration Guide et à la page de manuel ikecert(1M).

Accélération du matériel IKE (Internet Key Exchange)

Cette fonction est nouvelle dans la version Solaris 9 4/03.

Les opérations de clé publique effectuées par le biais du protocole IKE peuvent être accélérées au moyen d'une carte Crypto Accelerator 1000 Sun. Ces opérations sont déchargées sur la carte, ce qui accélère le chiffrement et réduit les demandes en ressources auprès du système d'exploitation.

Pour de plus amples informations sur le protocole IKE, consultez le document IPsec and IKE Administration Guide.

Améliorations apportées à l'audit

Cette fonction est nouvelle dans la version Solaris 9 8/03.

Dans cette version de Solaris, les améliorations apportées aux fonctions d'audit réduisent le bruit de la piste et permettent aux administrateurs d'utiliser des scripts XML pour l'analyser. Voici la liste de ces améliorations :

• Les fichiers publics ne font plus l'objet d'audit pour des événements en lecture seule. L'indicateur de règle public de la commande auditconfig vérifie si les fichiers publics sont audités. L'absence d'audit des objets publics réduit considérablement la piste d'audit. Ainsi, il est plus facile de surveiller les tentatives de lecture des fichiers sensibles.

• La commande praudit dispose d'un format de sortie supplémentaire, le XML. Ce format permet de lire la sortie dans un navigateur et fournit la source des scripts XML pour les rapports. Consultez la page de manuel praudit(1M).

• L'ensemble des classes d'audit par défaut a été restructuré. Les méta-classes d'audit prennent en charge les classes d'audit plus affinées. Consultez la page de manuel audit_class(4).

• La commande bsmconv ne désactive plus la touche Stop-A. L'événement Stop-A est dorénavant audité pour assurer la sécurité.

Pour de plus amples informations, consultez le document System Administration Guide: Security Services.

Interfaces de terminal à carte intelligente

Cette fonction est nouvelle dans la version Solaris 9 8/03.

Les interfaces à carte intelligente Solaris sont un ensemble d'interfaces publiques pour les terminaux à carte intelligente. Consultez la rubrique Interfaces à carte intelligente.

Améliorations apportées à la fonction crypt()

Cette fonction est nouvelle dans la version Solaris 9 12/02.

Les mots de passe sont chiffrés, ce qui empêche les intrus de les lire. Trois modules de chiffrement de mots de passe robustes sont désormais disponibles sur ce logiciel :

• une version de Blowfish compatible avec les systèmes BSD (Bekerley Software Distribution) ;

• une version de MD5 (Message Digest 5) compatible avec les systèmes BSD et Linux ;

• une version plus robuste de MD5 compatible avec d'autres systèmes Solaris.

Pour de plus amples informations sur la procédure de protection des mots de passe utilisateur à l'aide de ces nouveaux modules de chiffrement, consultez le document System Administration Guide: Security Services. Pour de plus amples informations sur la robustesse des modules, reportez-vous aux pages de manuel crypt_bsdbf(5), crypt_bsdmd5(5) et crypt_sunmd5(5).

Fonction de gestion des mots de passe dans pam_ldap

Cette fonction est nouvelle dans la version Solaris 9 12/02.

La fonction de gestion des mots de passe pam_ldap renforce la sécurité générale du service d'attribution de noms LDAP lorsqu'elle est utilisée conjointement avec Sun ONE Directory Server (anciennement iPlanet^TM Directory Server). La fonction de gestion des mots de passe :

• Permet d'assurer le suivi du vieillissement et de la date d'expiration des mots de passe.

• Empêche les utilisateurs de choisir des mots de passe évidents ou déjà utilisés.

• Avertit les utilisateurs de l'approche de la date d'expiration de leurs mots de passe.

• Déconnecte les utilisateurs après plusieurs échecs de connexion.

• Empêche que des utilisateurs autres que les administrateurs système autorisés désactivent des comptes ouverts.

Pour de plus amples informations sur les services d'annuaire et d'attribution de noms, consultez le document System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Pour plus de détails sur les services de sécurité de Solaris, consultez le document System Administration Guide: Security Services.

Améliorations apportées au PAM (module d'authentification enfichable)

Cette fonction est nouvelle dans la version Solaris 9 12/02.

Le cadre du PAM a été étendu et inclut désormais un nouveau drapeau de contrôle permettant d'éviter le traitement de piles supplémentaires. Ceci est possible si le module de service actuel s'est exécuté avec succès et si aucun échec n'a eu lieu sur les modules obligatoires précédents.

Pour de plus amples informations sur cette modification, consultez le document System Administration Guide: Security Services.