セキュリティの機能拡張

以前の Solaris 9 リリースから、次のセキュリティ拡張機能が追加されています。

• 「sadmind セキュリティレベルの上昇」

• 「Kerberos の機能拡張」

• 「Sun Crypto Accelerator 4000 ボードでのインターネット鍵交換 (IKE) による鍵の格納」

• 「IKE (Internet Key Exchange) ハードウェアアクセラレーション」

• 「監査機能の拡張」

• 「スマートカード端末インタフェース」

• 「crypt() 関数の拡張」

• 「pam_ldap のパスワード管理機能」

• 「PAM (Pluggable Authentication Module) の拡張」

sadmind セキュリティレベルの上昇

sadmind コマンドのセキュリティ向上のため、デフォルトのセキュリティレベルが 2 (DES) に上がりました。sadmind が不要な場合は、inetd.conf ファイルでエントリをコメントアウトします。

詳細は、sadmind(1M) のマニュアルページを参照してください。

Kerberos の機能拡張

この機能は、Solaris 9 12/03 リリースで追加されました。

Solaris の Kerberos 鍵配布センター (KDC) が、MIT の Kerberos バージョン 1.2.1 ベースに基づいて変更されました。KDC では、現在のハッシュベースのデータベースよりも高い信頼性を備えた btree ベースのデータベースがデフォルトで使用されるようになりました。

詳細は、kdc.conf(4) のマニュアルページを参照してください。

Sun Crypto Accelerator 4000 ボードでのインターネット鍵交換 (IKE) による鍵の格納

この機能は、Solaris 9 12/03 リリースで追加されました。

IKE が、IPv4 ネットワークに加え、IPv6 ネットワーク上でも動作するようになりました。IPv6 実装に固有のキーワードについては、ifconfig(1M) および ike.config(4) のマニュアルページを参照してください。

Sun Crypto Accelerator 4000 ボードがマシンに搭載されている場合、IKE は大量の計算を必要とする処理をそのボードを使って負荷分散できるため、オペレーティングシステムはほかのタスクに資源を振り向けることができます。また、IKE は、公開鍵、非公開鍵、および公開証明書をそのボード上に格納することもできます。独立したハードウェア上に鍵を格納すれば、さらにセキュリティが向上します。

詳細は、『IPsec と IKE の管理』および ikecert(1M) のマニュアルページを参照してください。

IKE (Internet Key Exchange) ハードウェアアクセラレーション

この機能は、Solaris 9 4/03 リリースで追加されました。

Sun Crypto Accelerator 1000 カードを使って、IKE の公開鍵処理時間を短縮できます。実行する処理がカードにオフロードされます。このため、暗号化処理が高速化され、オペレーティング環境の消費リソースも少なくて済みます。

詳細は、『IPsec と IKE の管理』を参照してください。

監査機能の拡張

この機能は、Solaris 9 8/03 リリースで追加されました。

今回の Solaris リリースでは、監査機能の拡張により、監査トレール内のノイズが削減されます。また、管理者は監査トレールの解析時に XML スクリプトを使用できます。具体的な拡張内容は次のとおりです。

• 公開ファイルの読み取り専用イベントは監査の対象から除外されます。auditconfig コマンドに public ポリシーフラグを指定して、公開ファイルの監査を行うかどうかを制御できます。公開オブジェクトを監査対象から除外することで、監査トレールの量が大幅に削減されます。このため、読み取り可能なファイルの監査が簡単になります。

• praudit コマンドの出力形式として、新たに XML が追加されました。XML 形式の出力は、ブラウザで表示できます。また、レポート作成時に使用する XML スクリプトのソースとしても利用できます。praudit(1M) のマニュアルページを参照してください。

• 監査クラスのデフォルトセットが変更されました。監査メタクラスにより、監査クラスをより細かく設定できます。audit_class(4) のマニュアルページを参照してください。

• bsmconv コマンドを実行しても、Stop + A キーが無効になりません。セキュリティ管理のため、Stop + A イベントも監査対象になりました。

詳細は、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

スマートカード端末インタフェース

この機能は、Solaris 9 8/03 リリースで追加されました。

Solaris スマートカードインタフェースは、スマートカード端末用の公開インタフェースです。「スマートカードインタフェース」を参照してください。

crypt() 関数の拡張

この機能は、Solaris 9 12/02 リリースで追加されました。

パスワードの暗号化により、侵入者が不正にパスワードを解読することを防ぎます。このソフトウェアでは、次の 3 つのパスワード暗号化強化モジュールが利用可能です。

• BSD (Berkeley Software Distribution) システムと互換性のある Blowfish のバージョン

• BSD、Linux システムと互換性のある MD5 (Message Digest 5) のバージョン

• ほかの Solaris システムと互換性のある MD5 の強化バージョン

新しい暗号化モジュールを使ったユーザーパスワードの保護方法については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。モジュールの強化については、crypt_bsdbf(5)、 crypt_bsdmd5(5)、および crypt_sunmd5(5) のマニュアルページを参照してください。

pam_ldap のパスワード管理機能

この機能は、Solaris 9 12/02 リリースで追加されました。

pam_ldap パスワード管理機能により、Sun ONE Directory Server (旧名称は iPlanet Directory Server) と連動して使われる LDAP ネームサービスのセキュリティ全体が強化されます。特に、パスワード管理機能により以下のようなことが行われます。

• 古いパスワードや、期限切れのパスワードをトラックします。

• ありふれたパスワードや、以前使ったことのあるパスワードをユーザーが選択できないようにします。

• パスワードの期限が切れそうなユーザーに警告を出します。

• 続けてログインに失敗したユーザーをロックします。

• 許可されたシステム管理者以外のユーザーが、初期化されたアカウントを無効にできないようにします。

Solaris ネーミングとディレクトリサービスについては、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。Solaris セキュリティ機能については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

PAM (Pluggable Authentication Module) の拡張

この機能は、Solaris 9 12/02 リリースで追加されました。

PAM フレームワークの機能が拡張されて、新しい制御フラグが追加されました。新しい制御フラグにより、追加のスタック処理をスキップできます。このスキップは、現在のサービスモジュールが成功し、それ以前の必須モジュールで障害が発生していない場合に利用可能です。

この機能変更については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。