Gestión de acceso mediante shell seguro en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Shell seguro y FIPS 140

Shell seguro es consumidor del módulo FIPS 140 de OpenSSL. Oracle Solaris ofrece una opción de FIPS 140 para el lado del servidor y el lado del cliente. Para cumplir con los requisitos de FIPS 140, los administradores deben configurar y utilizar las opciones de FIPS 140.

El modo FIPS, donde Shell seguro utiliza el modo FIPS 140 de OpenSSL, no es el predeterminado. Como administrador, debe activar explícitamente el shell seguro para ejecutar en el modo FIPS 140. Puede invocar el modo FIPS 140 con el comando ssh -o "UseFIPS140 yes" remote-host. Como alternativa, se puede definir una palabra clave en los archivos de configuración.

    Brevemente, la implementación consta de los siguientes elementos:

  • Los siguientes cifrados aprobados por FIPS 140 están disponibles en el servidor y en el cliente: aes128-cbc, aes192-cbc y aes256-cbc.

    3des-cbc está disponible de manera predeterminada en el cliente, pero no está en la lista de cifrado del servidor debido a posibles riesgos de seguridad.

  • Están disponibles los siguientes códigos de autenticación de mensajes (MAC) aprobados por FIPS 140:

    • hmac-sha1, hmac-sha1-96

    • hmac-sha2-256, hmac-sha2-256-96

    • hmac-sha2-512, hmac-sha2-512-96

  • Se admiten cuatro configuraciones de servidor-cliente:

    • Ningún modo FIPS 140 en el cliente o el servidor

    • Modo FIPS 140 en el cliente y en el servidor

    • Modo FIPS 140 en el servidor, pero no en el cliente

    • Ningún modo FIPS 140 en el servidor, pero sí en el cliente

  • El comando ssh-keygen tiene una opción para generar la clave privada del usuario en el formato PKCS nº 8 que requieren los clientes Shell seguro en modo FIPS. Para obtener más información, consulte la página del comando man ssh-keygen(1).

Para obtener más información acerca de FIPS 140, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Consulte también las páginas del comando man sshd(1M), sshd_config(4), ssh(1) y ssh_config(4).

Cuando utiliza una tarjeta Sun Crypto Accelerator 6000 para operaciones Shell seguro, Shell seguro se ejecuta con compatibilidad de FIPS 140 en el nivel 3. El hardware de nivel 3 está certificado para evitar la alteración física, utilizar autenticación basada en identidad y aislar las interfaces que gestionan parámetros de seguridad críticos de otras interfaces de hardware.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente