Säkerhetsförbättringar

Solaris-programvaran innehåller följande säkerhetsförbättringar från tidigare Solaris 9-versioner:

• Höjd säkerhetsnivå för sadmind

• Kerberos-förbättringar

• IKE-nyckellagring (Internet Key Exchange) på ett Sun Crypto Accelerator 4000-kort

• Acceleration i maskinvara för IKE (Internet Key Exchange)

• Övervakningsförbättringar

• Terminalgränssnitt för smartkort

• Förbättrad crypt()-funktion

• Funktion för lösenordshantering i pam_ldap

• PAM-förbättringar (Pluggable Authentication Module)

Höjd säkerhetsnivå för sadmind

För att förbättra säkerheten för kommandot sadmind, har standardsäkerhetsnivån höjts till 2 (DES). Om du inte behöver sadmind kommenterar du ut posten i filen inetd.conf.

Mer information finns i direkthjälpen för sadmind(1M).

Kerberos-förbättringar

Den här funktionen är en nyhet i Solaris 9 12/03.

Solaris KDC (Kerberos Key Distribution Center) bygger nu på MIT Kerberos version 1.2.1. KDC använder nu som standard en btree-baserad databas som är mer pålitlig än den nuvarande hash-baserade databasen.

Mer information finns i direkthjälpen för kdc.conf(4).

IKE-nyckellagring (Internet Key Exchange) på ett Sun Crypto Accelerator 4000-kort

Den här funktionen är en nyhet i Solaris 9 12/03.

IKE kan köras på både IPv6- och IPv4-nätverk. Information om nyckelord som är specifika för IPv6-implementeringen finns i direkthjälpen för ifconfig(1M) och ike.config(4).

När du ansluter ett Sun Crypto Accelerator 4000-kort kan IKE avlasta beräkningsintensiva åtgärder till kortet vilket frigör operativsystemet för andra uppgifter. IKE kan även använda kortet för att lagra offentliga och privata nycklar och offentliga certifikat. Om du lagrar nycklarna på en separat maskinvara ökar säkerheten.

Mer information finns i IPsec and IKE Administration Guide och i direkthjälpen för ikecert(1M).

Acceleration i maskinvara för IKE (Internet Key Exchange)

Den här funktionen är en nyhet i Solaris 9 4/03.

Åtgärder för offentliga nycklar i IKE kan accelereras med ett Sun Crypto Accelerator 1000-kort. Åtgärderna lastas av på kortet. Avlastningen accelererar krypteringen och minskar belastningen på operativsystemets resurser.

Information om IKE finns i IPsec and IKE Administration Guide.

Övervakningsförbättringar

Den här funktionen är en nyhet i Solaris 9 8/03.

De förbättrade övervakningsfunktionerna i den här Solaris-versionen minskar störningar i spåret och ger administratörer tillgång till XML-skript att analysera spåret med. Förbättringarna inkluderar följande:

• Skrivskyddshändelser för offentliga filer övervakas inte längre. Med policy-flaggan public för kommandot auditconfig styrs om offentliga filer ska övervakas eller inte. Om du inte övervakar offentliga objekt minskas övervakningsspåret markant. Det blir därmed lättare att övervaka försök att läsa känsliga filer.

• Kommandot praudit har ytterligare ett utdataformat, XML. XML-formatet gör att utdata kan läsas i en webbläsare och tillhandahåller en källa för XML-skript för rapporter. Information finns i direkthjälpen för praudit(1M).

• Standarduppsättningen av övervakningsklasser har strukturerats om. Övervakningsmetaklasser ger stöd till mer detaljerade övervakningsklasser. Information finns i direkthjälpen för audit_class(4).

• Tangentkombinationen Stop-A inaktiveras inte längre av kommandot bsmconv. Händelsen Stop-A övervakas nu för att bevara säkerheten.

Mer information finns i System Administration Guide: Security Services.

Terminalgränssnitt för smartkort

Den här funktionen är en nyhet i Solaris 9 8/03.

Smartkortsgränssnitten för Solaris är en uppsättning offentliga gränssnitt för smartkortsterminaler. Se Smartkortsgränssnitt.

Förbättrad crypt()-funktion

Den här funktionen är en nyhet i Solaris 9 12/02.

Lösenordskryptering skyddar lösenord från obehöriga användare. Tre kraftfulla krypteringsmoduler för lösenord är nu tillgängliga i programmet:

• En Blowfish-version som är kompatibel med BSD-system (Berkeley Software Distribution)

• En version av Message Digest 5 (MD5) som är kompatibel med BSD- och Linux-system

• En kraftfullare version av MD5 som är kompatibel med andra Solaris-system

Mer information om hur du skyddar dina lösenord med de här nya krypteringsmodulerna finns i System Administration Guide: Security Services. Information om modulernas styrka finns i direkthjälpen för crypt_bsdbf(5), crypt_bsdmd5(5) och crypt_sunmd5(5).

Funktion för lösenordshantering i pam_ldap

Den här funktionen är en nyhet i Solaris 9 12/02.

Funktionen för lösenordshantering i pam_ldap förstärker säkerheten hos namntjänsten LDAP när den används tillsammans med Sun ONE Directory Server (tidigare iPlanet Directory Server). Funktionen för lösenordshantering gör närmare bestämt följande:

• Erbjuder möjlighet till spårning av gamla och utgångna lösenord

• Förhindrar användare från att välja alltför enkla eller tidigare använda lösenord

• Varnar användare innan deras lösenord upphör att gälla

• Stänger ute användare efter upprepade misslyckade inloggningsförsök

• Förhindrar att andra användare än den behörige systemadministratören inaktiverar initierade konton

Mer information om Solaris namn- och katalogtjänster finns i System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Mer information om Solaris säkerhetsfunktioner finns i System Administration Guide: Security Services.

PAM-förbättringar (Pluggable Authentication Module)

Den här funktionen är en nyhet i Solaris 9 12/02.

PAM-ramverket har utökats genom att en ny kontrollflagga har inkluderats. Den nya kontrollflaggan ger möjlighet att hoppa över ytterligare stackbearbetning. Överhoppning är möjlig om den aktuella servicemodulen är framgångsrik och inga fel inträffade på tidigare, obligatoriska moduler.

Mer information om den här förändringen finns i System Administration Guide: Security Services.