Mejoras en la seguridad

El software Solaris presenta las siguientes mejoras de seguridad con respecto a las anteriores versiones de Solaris 9:

• Nivel de seguridad sadmind activado

• Mejoras de Kerberos

• Almacenamiento de claves de Internet Key Exchange (IKE) en la placa Sun Crypto Accelerator 4000

• Aceleración del hardware Intercambio de claves por Internet (IKE)

• Mejoras en la auditoría

• Interfaces de terminales de tarjeta inteligente

• Función crypt() mejorada

• Función de gestión de contraseñas en pam_ldap

• Mejoras en el módulo de autenticación conectable (PAM)

Nivel de seguridad sadmind activado

Si desea mejorar la seguridad con la orden sadmind, el nivel predeterminado de seguridad se ha cambiado a 2 (DES). Si no necesita la orden sadmind, convierta en comentario la entrada del archivo inetd.conf.

Si desea más información, consulte la página de comando man sadmind(1M).

Mejoras de Kerberos

Esta característica es una novedad de la versión de Solaris 9 12/03.

El Centro de distribución de claves de Kerberos (KDC) de Solaris se basa ahora en la versión 1.2.1. de Kerberos MIT. El KDC toma como valor predeterminado una base de datos basada en btree, más fiable que la base de datos actual basada en hash.

Consulte la página de comando man kdc.conf(4) si desea más información.

Almacenamiento de claves de Internet Key Exchange (IKE) en la placa Sun Crypto Accelerator 4000

Esta característica es una novedad de la versión de Solaris 9 12/03.

IKE se ejecuta tanto en redes IPv6 como IPv4. Si desea más información sobre las palabras clave específicas de la implementación de IPv6, consulte las páginas de comando man ifconfig(1M) e ike.config(4).

Al incorporar una placa Sun Crypto Accelerator 4000, IKE puede desplazar a ella las operaciones de cálculo intensivo, liberando así el sistema operativo para efectuar otras tareas. IKE puede también utilizar la placa incorporada para almacenar claves públicas, claves privadas y certificados públicos. El almacenamiento de claves en un hardware independiente ofrece seguridad adicional.

Si desea más información, consulte el documento IPsec and IKE Administration Guide y la página de comando man ikecert(1M).

Aceleración del hardware Intercambio de claves por Internet (IKE)

Esta característica es una novedad de la versión de Solaris 9 4/03.

Es posible acelerar las operaciones de clave pública de IKE mediante una tarjeta Crypto Accelerator 1000 de Sun. Las operaciones se descargan a la tarjeta. Esta descarga acelera la encriptación y reduce las exigencias con respecto al sistema operativo.

Si desea información sobre IKE, consulte el documento IPsec and IKE Administration Guide.

Mejoras en la auditoría

Esta característica es una novedad de la versión de Solaris 9 8/03.

Las mejoras en la función de auditoría en esta versión de Solaris disminuyen la distorsión en la referencia y permiten a los administradores usar las secuencias para analizar la referencia. Las mejoras son las siguientes:

• Ya no se auditan los archivos públicos en los eventos de sólo lectura. El indicador de la norma public para la orden auditconfig controla que los archivos públicos se auditen. Si no se auditan los objetos públicos, la referencia de la auditoría se reduce drásticamente. Por este motivo los intentos de leer archivos sensibles son más sencillos de supervisar.

• La orden praudit tiene un formato adicional de salida, XML, que permite leer la salida en un navegador y proporciona la fuente con el fin de que XML cree las secuencias para los informes. Consulte la página de comando man praudit(1M).

• Se ha reestructurado el conjunto predeterminado de clases de auditoría. Las metaclases de auditoría proporcionan admisión para las clases de auditoría de alta precisión. Consulte la página de comando man audit_class(4).

• La orden bsmconv ya no inhabilita el uso de la combinación de claves Stop-A. El evento Stop-A se audita ahora para conservar la seguridad.

Si desea más información, consulte System Administration Guide: Security Services.

Interfaces de terminales de tarjeta inteligente

Esta característica es una novedad de la versión de Solaris 9 8/03.

Las interfaces de tarjeta inteligente de Solaris son un conjunto de interfaces públicas para los terminales de tarjeta inteligente. Consulte Interfaces para tarjeta inteligente.

Función crypt() mejorada

Esta característica es una novedad de la versión de Solaris 9 12/02.

El cifrado de contraseñas las protege contra su lectura por parte de intrusos. El software dispone ahora de tres sólidos módulos de cifrado de contraseñas:

• Una versión de Blowfish compatible con sistemas de Berkeley Software Distribution (BSD)

• Una versión de Message Digest 5 (MD5) compatible con los sistemas BSD y Linux

• Una versión más estricta de MD5 compatible con otros sistemas Solaris

Si desea información sobre cómo proteger las contraseñas de los usuarios con estos nuevos módulos de cifrado, consulte System Administration Guide: Security Services. Si desea información sobre la fuerza de cifrado de los módulos, consulte las páginas de comando man crypt_bsdbf(5), crypt_bsdmd5(5) y crypt_sunmd5(5).

Función de gestión de contraseñas en pam_ldap

Esta característica es una novedad de la versión de Solaris 9 12/02.

La función de gestión de contraseñas pam_ldap incrementa la seguridad global del servicio de nombres LDAP si se utiliza junto con Sun ONE Directory Server (antes iPlanet Directory Server). Las características específicas de la función de gestión de contraseñas son:

• Permite efectuar el seguimiento de la caducidad de las contraseñas

• Impide a los usuarios elegir contraseñas triviales o usadas con anterioridad

• Advierte a los usuarios cuando sus contraseñas están a punto de caducar

• Bloquea a los usuarios después de varios intentos de inicio de sesión fallidos

• Impide a cualquier usuario que no sea el administrador del sistema autorizado desactivar cuentas inicializadas

Si desea más información sobre la asignación de nombres en Solaris y los servicios de directorios, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Si desea información sobre las funciones de seguridad de Solaris, consulte System Administration Guide: Security Services.

Mejoras en el módulo de autenticación conectable (PAM)

Esta característica es una novedad de la versión de Solaris 9 12/02.

La estructura PAM se ha ampliado para incluir un nuevo indicador de control que permite omitir el procesado adicional de la pila. Esta omisión se activa si no hay errores en el módulo de servicio actual ni en los módulos obligatorios anteriores.

Si desea más información sobre este cambio, consulte System Administration Guide: Security Services.