En esta sección, se describen los problemas que pueden surgir con el software de seguridad en la versión Oracle Solaris 11.3.
A partir de Oracle Solaris 11.2, las instrucciones de T4 y la aceleración por hardware Intel están integradas en la implementación de cifrado interno de OpenSSL para OpenSSL que no cumple con FIPS-140. Este cambio afecta el rendimiento de ssh y sshd, debido a que estos servicios utilizan el motor pkcs11 de OpenSSL de manera predeterminada en los sistemas T4 y versiones posteriores.
Solución alternativa: para obtener el máximo rendimiento, desactive el motor pkcs11 de OpenSSL.
Realice los siguientes pasos para desactivar el motor pkcs11 para los servicios ssh y sshd:
Agregue la siguiente línea a los archivos /etc/ssh/ssh_config y /etc/ssh/sshd_config:
UseOpenSSLEngine no
Reinicie el servicio ssh.
# svcadm restart ssh
El servicio ktkt_warn, utilizado para renovar las credenciales de Kerberos de un usuario y advertir sobre la caducidad de las credenciales, está ahora desactivado de manera predeterminada. Aparecerá el siguiente mensaje de error:
kinit: no ktkt_warnd warning possible
Solución alternativa: elija una de las siguientes soluciones alternativas para activar el servicio:
Si el sistema ya tiene Kerberos configurado, utilice el comando svcadm para activar el servicio.
# svcadm enable ktkt_warn
Si no se ha configurado Kerberos, ejecute la utilidad kclient para configurar Kerberos, que también activará el servicio ktkt_warn.
Para obtener más información sobre la utilidad kclient, consulte la página del comando man kclient(1M).
El daemon de la estructura criptográfica de nivel de núcleo, kcfd, se puede bloquear en las zonas marcadas que ejecutan Oracle Solaris 10. El bloqueo se produce cuando una aplicación realiza una llamada al daemon kcfd mediante un usuario que es miembro de 16 o más grupos UNIX.
Este fallo del daemon kcfd también puede causar que el servicio svc:/system/cryptosvc:default pase al modo de mantenimiento, lo que causará que la biblioteca libpkcs11 deje de funcionar. Para obtener más información, consulte la página del comando man libpkcs11(3LIB).
El bloqueo también causa que aplicaciones o comandos como ssh y Java no puedan usar la aceleración de hardware de SPARC de las operaciones criptográficas, y que otras aplicaciones o comandos, como encrypt y decrypt, fallen completamente.
Solución alternativa: para evitar el bloqueo, aumente el número máximo de grupos por usuario en la zona global de modo que supere el número de grupos que puede asignar un usuario. Por ejemplo, si se puede asignar un usuario a 31 grupos, agregará la siguiente línea al archivo /etc/system en la zona global:
set ngroups_max = 32
El valor máximo que se puede asignar a ngroups_max es 1024.
Si realizó modificaciones manuales a los archivos de configuración de LDAP /etc/openldap/ldap.conf y /etc/openldap/slapd.conf, es posible que la configuración de seguridad del conjunto de cifrado de TLS sea incorrecta.
Solución alternativa: si mantiene los archivos de configuración de LDAP, realice las siguientes modificaciones para mantener un sistema seguro:
En el archivo /etc/openldap/ldap.conf, configure los valores TLS_PROTOCOL_MIN y TLS_CIPHER_SUITE de la siguiente manera:
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
En /etc/openldap/slapd.conf, configure los valores TLSProtocolMin y TLSCipherSuite de la siguiente manera:
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA