ssh, sshd und Apache aktivieren OpenSSL pkcs11 Engine standardmäßig auf T4-, T4+-Plattformen (18762585, 18764604) - Oracle® Solaris 11.2 – Versionshinweise

Oracle^® Solaris 11.2 – Versionshinweise

Druckansicht beenden

» ...Documentation Home » Oracle^® Solaris 11.2 ... » Laufzeitprobleme » Sicherheitsprobleme » ssh, sshd und Apache aktivieren OpenSSL pkcs11 ...

Aktualisiert: Mai 2015

Oracle^® Solaris 11.2 – Versionshinweise

Dokumentinformationen

Verwenden dieser Dokumentation

Kapitel 1 Vorbereitende Schritte

Kapitel 2 Installationsprobleme

Kapitel 3 Updateprobleme

Kapitel 4 Laufzeitprobleme

Firmwareprobleme

x86: Einige Systeme mit BIOS-Firmware starten nicht, wenn der Eintrag EFI_PMBR im Master-Boot-Datensatz nicht aktiv ist (15796456)

SPARC: Unterstützung für Festplatte mit GPT-Kennzeichnung

x86: Bootvorgang im UEFI-Modus vom ISO-Image dauert bei Oracle VM VirtualBox sehr lange

x86: Oracle Solaris startet auf Datenträgern nicht, die ältere Emulex FC HBA-Karten verwenden (15806304)

ZFS muss bei einem Power-On-Reset bei WCE LUN eine ganze Transaktion wiederholen oder abbrechen (15662604)

Systemkonfigurationsprobleme

SPARC: System kann keine iSCSI-LUN auf einem iSCSI-Speicherarray starten (15775115)

root.sh kann nodeapps für IPv4 oder IPv6 in einer Oracle Solaris-Zone nicht starten (19080861, 18922918)

Dateisystemproblem

Probleme beim Ersetzen oder Verwenden neuer AF-Festplattenlaufwerken (Advanced Format) auf Oracle Solaris-Systemen

Systemverwaltungsprobleme

svccfg validate-Befehl schlägt auf einem geteilten Manifest fehl (15891161)

x86: Die Informationen des ZFS-Pools veralten, nachdem der stmsboot-Befehl mit Option e ausgeführt wurde(15791271)

LDAP-Warnungen beim Booten des Systems (15805913)

Beim Booten angezeigte Konsolmeldung (16756035)

SPARC: Durch Unterbrechen eines M5000-Servers kann das System blockiert werden (18552774)

SPARC: Beschädigung des D-Bus Kernel Heaps beim Versuch, ein Busgerät zu entfernen (18435472)

SPARC: 64-Bit: Bei PCIe Express Module-Systemen kann es in regelmäßigen Abständen zu Panikhinweisen kommen (18996506)

Solaris10 Branded Zone-Installation verläuft nicht erfolgreich, wenn die fs-Ressourcen zu der Zonenkonfiguration hinzugefügt werden (19976804)

Netzwerkprobleme

addrconf-Adressen können nicht als IPMP-Testadressen konfiguriert werden (16885440)

SPARC: Erstellen einer VNIC verläuft nicht erfolgreich, wenn eine physische NIC als net-dev verwendet wird (19188703)

DLMP funktioniert in einer virtuellen SR-IOV-Funktion oder einem virtuellen Netzwerkgeräte in einer Gastdomain (17656120) nicht

Sicherheitsprobleme

ssh, sshd und Apache aktivieren OpenSSL pkcs11 Engine standardmäßig auf T4-, T4+-Plattformen (18762585, 18764604)

ktkt_warn-Service ist standardmäßig deaktiviert (15774352)

Probleme bei Kernel-Zonen

Bootargumente für den reboot-Befehl werden ignoriert (18177344)

Kernel-Zonen, die virtuelle CPUs verwenden, können das Erstellen von Prozessorsets oder die dynamische CPU-Rekonfiguration blockieren (18061724)

Kernel-Zonen beeinträchtigen hardware-counter-overflow Interrupt (18355260)

SPARC: Kernel-Zonen blockieren die Livemigration von Gastdomains (18289196)

ipadm verläuft nicht erfolgreich, Fehler wegen nicht ausreichendem Speicher wird ausgegeben (18134702)

Die Unterbefehle zoneadm install und clone prüfen nicht auf doppelte Speichergeräte (18685017)

Desktopprobleme

Evolution stürzt nach Neuinstallation ab (15734404)

SPARC: Desktop-Probleme mit USB-Tastatur, Maus und physischem Monitor (15700526)

Deskriptor-Grenze bei kleinen Dateien bei D-Bus-Systemdämon zur Verwendung auf Sun Ray- oder XDMCP-Servern (15812274)

Trusted Extensions-Desktopbenutzer werden nach 15 Minuten abgemeldet (18462288)

Grafik- und Bildbearbeitungsprobleme

x86: Upgrade des NVIDIA-Grafiktreibers (18098413)

Leistungsprobleme

ZFS-Daten können nicht problemlos freigegeben werden (15942559)

Auflisten von LUNs dauert bei M6-32-Servern über eine Minute (18125373)

SPARC: EP-Service erstellt alle 24 Stunden außer Kraft gesetzte Prozesse (16311652)

Ausführbarer Thread bleibt gelegentlich länger in der Ausführungsqueue (17697871)

Hardwareprobleme

SPARC: Geräte auf PCI-Box können auf Fujitsu M10-Systemen nicht mit hotplug konfiguriert werden (15813959)

SPARC: Fujitsu M10-Server löst einen Panikhinweis beim Beenden des Prozesses aus (19230723)

fault.io.usb.eps Warnung bei dem USB-Ethernet-Gerät (16268647)

Neustart der Root-Domain führt zu einem Panikhinweis von Oracle VM Server for SPARC (18936032)

SPARC: Die Ausführung von VTS auf einem T3-2-Server führt zu einem schwerwiegenden Fehler in der PCIe Fabric (19137125)

Anhang A Bereits dokumentierte und in der Version 11.2 von Oracle Solaris korrigierte Bugs

Sprache:

`ssh`, `sshd` und Apache aktivieren OpenSSL `pkcs11` Engine standardmäßig auf T4-, T4+-Plattformen (18762585, 18764604)

Ab Oracle Solaris 11.2 sind T4-Anweisungen und Intel-Hardwarebeschleunigung in der internen OpenSSL-Kryptoimplementierung bei Nicht-FIPS-140 OpenSSL eingebettet. Diese Änderung wirkt sich auf die Leistung von ssh, sshd und Apache aus, weil diese Services standardmäßig die OpenSSL pkcs11-Engine auf T4-Systemen und späteren Versionen verwenden.

Problemumgehung: Zur optimalen Leistung deaktivieren Sie die OpenSSL pkcs11-Engine.

Führen Sie die folgenden Schritte aus, um die pkcs11-Engine für ssh- und sshd-Services zu deaktivieren:

Fügen Sie die folgende Zeile zu den Dateien /etc/ssh/ssh_config und /etc/ssh/sshd_config hinzu:
```
UseOpenSSLEngine no
```
Starten Sie den ssh-Service neu.
```
# svcadm restart ssh
```

Führen Sie die folgenden Schritte aus, um die pkcs11-Engine für den apache22-Service zu deaktivieren:

Kommentieren Sie die folgende Zeile in der Datei /etc/apache2/2.2/conf.d/ssl.conf aus:
```
# SSLCryptoDevice pkcs11
```
Starten Sie den apache22-Service neu.
```
# svcadm restart apache22
```

Hinweis - Dieses Problem tritt nur bei dem OpenSSL Non-FIPS-140-Modul auf. Informationen zu dem OpenSSL FIPS-140-Modul finden Sie in Using a FIPS 140 Enabled System in Oracle Solaris 11.2.

Copyright © 2014, 2015, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. Rechtliche Hinweise