Cette section décrit les problèmes relatifs au logiciel de sécurité dans la version Oracle Solaris11.3.
A partir d'Oracle Solaris 11.2, les instructions T4 et l'accélération du matériel Intel sont imbriquées dans l'implémentation cryptographique interne OpenSSL pour OpenSSL autre que FIPS-140. Ce changement a une incidence sur les performances de ssh et sshd car ces services utilisent le moteur pkcs11 OpenSSL par défaut sur les systèmes T4 et les versions ultérieures.
Solution de contournement Pour obtenir des performances maximales, désactivez le moteur pkcs11 OpenSSL.
Suivez ces étapes pour désactiver le moteur pkcs11 pour les services ssh et sshd :
Ajoutez la ligne suivante aux fichiers /etc/ssh/ssh_config et /etc/ssh/sshd_config :
UseOpenSSLEngine no
Redémarrez le service ssh.
# svcadm restart ssh
Le service ktkt_warn, utilisé pour renouveler les informations d'identification Kerberos d'un utilisateur et pour annoncer l'expiration de ces informations est à présent désactivé par défaut. Le message d'erreur suivant s'affiche :
kinit: no ktkt_warnd warning possible
Solution de contournement : Sélectionnez l'une des solutions de contournement suivantes pour activer le service :
Si Kerberos est déjà configuré sur le système, utilisez la commande svcadm pour activer le service.
# svcadm enable ktkt_warn
Si Kerberos n'est pas déjà configuré, exécutez l'utilitaire kclient pour configurer Kerberos, ce qui activera le service ktkt_warn.
Pour plus d'informations sur l'utilitaire kclient, reportez-vous à la page de manuel kclient(1M)
Le démon de la structure cryptographique au niveau du noyau, kcfd, peut s'arrêter brutalement dans des zones marquées qui exécutent Oracle Solaris 10. L'arrêt se produit lorsqu'une application effectue un appel vers le démon kcfd via un utilisateur qui est membre de 16 groupes UNIX au moins.
Cette défaillance du démon kcfd peut également entraîner le basculement du service svc:/system/cryptosvc:default en mode maintenance, qui provoque à son tour l'arrêt de la bibliothèque libpkcs11. Pour plus d'informations, reportez-vous à la page de manuel libpkcs11(3LIB).
Suite à l'arrêt brutal, les applications ou les commandes telles que ssh et Java ne peuvent pas utiliser l'accélération matérielle SPARC des opérations cryptographiques et peuvent provoquer l'échec total d'autres applications ou commandes, comme encrypt et decrypt.
Solution de contournement : pour empêcher un arrêt brutal, augmentez le nombre maximal de groupes par utilisateur dans la zone globale, afin qu'il dépasse le nombre de groupes auxquels un utilisateur peut être affecté. Par exemple, si un utilisateur peut être affecté à 31 groupes, vous devez ajouter la ligne suivante au fichier /etc/system dans la zone globale :
set ngroups_max = 32
La valeur maximale pouvant être affectée à ngroups_max est 1024.
Si vous avez apporté des modifications manuelles aux fichiers de configuration LDAP /etc/openldap/ldap.conf et /etc/openldap/slapd.conf, les paramètres de sécurité pour la suite de chiffrement TLS risquent d'être incorrects.
Solution de contournement : si vous gérez vous-même vos fichiers de configuration LDAP, apportez les modifications suivantes pour conserver un système sécurisé :
Dans le fichier /etc/openldap/ldap.conf, définissez les valeurs TLS_PROTOCOL_MIN et TLS_CIPHER_SUITE comme suit :
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Dans le fichier /etc/openldap/slapd.conf, définissez les valeurs TLSProtocolMin et TLSCipherSuite comme suit :
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA