Rispetto alle versioni precedenti di Solaris 9, sono stati apportati i seguenti miglioramenti alle funzioni di sicurezza:
Memorizzazione delle chiavi di IKE sulla scheda Sun Crypto Accelerator 4000
Accelerazione via hardware delle operazioni IKE (Internet Key Exchange)
Per migliorare la sicurezza del comando sadmind è stato adottato il livello di sicurezza predefinito 2 (DES). Se non si richiede l'uso di sadmind, commentare la voce corrispondente nel file inetd.conf.
Per maggiori informazioni, vedere la pagina man sadmind(1M).
Questa funzione è stata inclusa per la prima volta in Solaris 9 12/03.
IL KDC (Key Distribution Center) Kerberos di Solaris si basa ora sul MIT Kerberos versione 1.2.1. Nell'impostazione predefinita, KDC utilizza ora un database basato su btree, più affidabile di quello attuale basato sugli hash.
Vedere la pagina man kdc.conf(4) per maggiori informazioni.
Questa funzione è stata inclusa per la prima volta in Solaris 9 12/03.
IKE può essere eseguito sia sulle reti IPv6 che su quelle IPv4. Per informazioni sulle parole chiave specifiche dell'implementazione IPv6, vedere le pagine man ifconfig(1M) e ike.config(4).
Quando al sistema è collegata una scheda Sun Crypto Accelerator 4000, IKE può delegare le operazioni di calcolo intensive alla scheda, liberando il sistema operativo per altre attività. IKE può utilizzare la scheda anche per memorizzare le chiavi pubbliche, quelle private e i certificati pubblici. La memorizzazione delle chiavi su un componente hardware separato migliora ulteriormente la sicurezza.
Per maggiori informazioni, vedere il manuale IPsec and IKE Administration Guide e la pagina man ikecert(1M).
Questa funzione è stata inclusa per la prima volta in Solaris 9 4/03.
Le operazioni a chiave pubblica in IKE possono essere accelerate mediante una scheda Sun Crypto Accelerator 1000. Lo svolgimento delle operazioni viene delegato alla scheda. Il trasferimento delle operazioni alla scheda accelera la cifratura e riduce il carico di lavoro per le risorse del sistema operativo.
Per informazioni su IKE, vedere il manuale IPsec and IKE Administration Guide.
Questa funzione è stata inclusa per la prima volta in Solaris 9 8/03.
I miglioramenti alle funzioni di revisione di questa versione di Solaris riducono i dati indesiderati nella traccia e consentono agli amministratori di usare script XML per analizzare la traccia di revisione. Le modifiche sono le seguenti:
Non viene più eseguita la revisione dei file pubblici per gli eventi di sola lettura. Il flag della policy public per il comando auditconfig permette di stabilire se la revisione debba essere eseguita sui file pubblici. Escludendo dalla revisione gli oggetti pubblici, l'output del processo risulta fortemente ridotto. Ciò semplifica anche il monitoraggio dei file critici.
Il comando praudit utilizza il formato di output aggiuntivo XML. Il formato XML consente di leggere l'output con un browser e costituisce la base per l'elaborazione dei report con script XML. Vedere la pagina man praudit(1M).
Il set predefinito delle classi di revisione è stato riorganizzato. Le metaclassi supportano classi di revisione più dettagliate. Vedere la pagina man audit_class(4).
Il comando bsmconv non disabilita più l'uso della combinazione di tasti Stop-A. L'evento Stop-A viene ora controllato per ragioni di sicurezza.
Per maggiori informazioni, vedere il manuale System Administration Guide: Security Services.
Questa funzione è stata inclusa per la prima volta in Solaris 9 8/03.
Le interfacce per smart card di Solaris rappresentano un insieme di interfacce pubbliche per i terminali di smart card. Vedere Interfacce per smart card
Questa funzione è stata inclusa per la prima volta in Solaris 9 12/02.
La cifratura protegge le password dalla violazione da parte di estranei. Il software comprende ora tre moduli di cifratura delle password:
Una versione di Blowfish compatibile con i sistemi BSD (Berkeley Software Distribution)
Una versione di Message Digest 5 (MD5) compatibile con i sistemi BSD e Linux
Una versione più robusta di MD5 compatibile con altri sistemi Solaris
Per informazioni sulla protezione delle password con questi nuovi moduli di cifratura, vedere il manuale System Administration Guide: Security Services. Per informazioni sul livello di protezione dei moduli, vedere le pagine man crypt_bsdbf(5), crypt_bsdmd5(5) e crypt_sunmd5(5).
Questa funzione è stata inclusa per la prima volta in Solaris 9 12/02.
La funzione di gestione delle password pam_ldap, usata in combinazione con Sun ONE Directory Server (già iPlanet Directory Server), rafforza la sicurezza generale del servizio di denominazione LDAP. In particolare, la funzione di gestione delle password opera come segue:
Consente di controllare la durata e la scadenza delle password
Impedisce agli utenti di scegliere password troppo semplici o già usate in precedenza
Avverte l'utente quando la password sta per scadere
Blocca l'accesso degli utenti dopo ripetuti errori di login
Impedisce agli utenti diversi dall'amministratore di sistema di disattivare gli account inizializzati
Per maggiori informazioni sui servizi di denominazione e di directory di Solaris, vedere il manuale System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Per informazioni sulle funzioni di sicurezza di Solaris, vedere il manuale System Administration Guide: Security Services.
Questa funzione è stata inclusa per la prima volta in Solaris 9 12/02.
Il framework PAM è stato espanso con l'inclusione di un nuovo flag di controllo. Tale flag di controllo offre la possibilità di ignorare l'ulteriore elaborazione di uno stack. Questa funzione è abilitata se il modulo di servizio corrente opera correttamente e non si sono verificati errori nei moduli obbligatori precedenti.
Per maggiori informazioni, vedere il manuale System Administration Guide: Security Services.