Sicherheitserweiterungen

In Oracle Solaris 10 8/11 wurden folgende Sicherheitserweiterungen implementiert.

`PKCS#11`-Anbieter für Oracle Key Manager (OKM)

Der neue PKCS#11-Anbieter bietet Zugriff auf die OKM-Funktionalität unter Verwendung von standardmäßigen Oracle Solaris Cryptographic- und Key Management Framework-Schnittstellen. Die Funktionalität umfasst:

Erstellen und Speichern von privaten AES-Schlüsseln (Advanced Encryption Standard) im OKM
Verschlüsseln und Entschlüsseln der Daten mithilfe der generierten Schlüssel
Löschen der gespeicherten Schlüssel

Sie können die gespeicherten AES-Schlüssel für symmetrische kryptografische Vorgänge verwenden.

Unterstützung von AES-Verschlüsselungssuites für KSSL (Kernel SSL)

Oracle Solaris unterstützt die folgenden AES-Verschlüsselungssuites für Kernel-SSL (Secure Sockets Layer):

TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

Diese Suites sind in RFC 3268 (AES-Verschlüsselungssuites für Transport Layer Security) definiert. Weitere Informationen finden Sie auf der Manpage ksslcfg(1M).

Das Zuweisen eines neuen Passworts entsperrt kein gesperrtes Konto

Ab Oracle Solaris 10 8/11 kann ein gesperrtes Konto nicht durch Zuweisen eines neuen Passworts entsperrt werden. Diese Funktion verhindert, dass Systemadministratoren ein gesperrtes Konto versehentlich wieder aktivieren.

Vor dieser Version war es möglich, ein gesperrtes Benutzerkonto (entweder von einem Systemadministrator oder nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche) folgendermaßen zu entsperren:

mit der Option passwd -u,
durch Löschen des Passworteintrags mit der Option passwd -d,
durch Zuweisen eines neuen Passworts.

Sie können passwd -u und passwd -d weiterhin verwenden, um ein Konto zu entsperren bzw. um einen Passworteintrag zu löschen und das Konto zu entsperren. Nach dem Löschen des Passworteintrags zum Entsperren des Kontos können Sie dann ein neues Passwort zuweisen.

Weitere Informationen finden Sie auf der Manpage passwd(1).

Die Richtlinien zur Passworterstellung gelten standardmäßig für den `root` -Benutzer

Vor dieser Version war der root-Benutzer (user id 0) nicht an Passwortrichtlinien, die in der /etc/default/passwd-Datei konfiguriert waren, gebunden. Ab Oracle Solaris 10 8/11 gilt die konfigurierte Passwortrichtlinie standardmäßig für den root-Benutzer. Diese Konfiguration verhindert, dass Systemadministratoren versehentlich Passwörter erstellen, die dem für das System konfigurierten Richtliniensatz nicht entsprechen.

Weitere Informationen finden Sie auf der Manpage passwd(1). Die Beschreibung der Option force_check finden Sie auf der Manpage pam_authtok_check(5).

Funktion `chroot`

Ab Oracle Solaris 10 8/11 unterstützt Oracle SSH die Funktion chroot. Mit dieser Funktion kann der Administrator das root-Verzeichnis für einen laufenden Prozess und dessen untergeordnete Prozesse ändern. Ein Programm, das in der chroot-Umgebung ausgeführt wird, kann nicht auf Verzeichnisse oder Dateien außerhalb des festgelegten Verzeichnisbaums zugreifen.

Weitere Informationen finden Sie in der Beschreibung der Option ChrootDirectory auf der Manpage sshd_config(4).

Navigationslinks �berspringen
Druckansicht beenden
	Neuerungen in Oracle Solaris 10 8/11