In diesem Abschnitt werden Probleme bei der Sicherheitssoftware im Oracle Solaris 11.3-Release beschrieben.
Ab Oracle Solaris 11.2 sind T4-Anweisungen und Intel-Hardwarebeschleunigung in der internen OpenSSL-Kryptoimplementierung bei Nicht-FIPS-140 OpenSSL eingebettet. Diese Änderung wirkt sich auf die Leistung von ssh und sshd aus, weil diese Services standardmäßig die OpenSSL pkcs11-Engine auf T4-Systemen und späteren Versionen verwenden.
Problemumgehung: Zur optimalen Leistung deaktivieren Sie die OpenSSL pkcs11-Engine.
Führen Sie die folgenden Schritte aus, um die pkcs11-Engine für ssh- und sshd-Services zu deaktivieren:
Fügen Sie die folgende Zeile zu den Dateien /etc/ssh/ssh_config und /etc/ssh/sshd_config hinzu:
UseOpenSSLEngine no
Starten Sie den ssh-Service neu.
# svcadm restart ssh
Der ktkt_warn-Service, der zur Erneuerung der Kerberos-Zugangsdaten eines Benutzers und zur Warnung vor dem Ablauf der Zugangsdaten verwendet wird, ist jetzt standardmäßig deaktiviert. Folgende Fehlermeldung wird möglicherweise angezeigt:
kinit: no ktkt_warnd warning possible
Problemumgehung: Wählen Sie eine der folgenden Methoden, um den Service zu aktivieren:
Wenn Kerberos bereits in dem System konfiguriert ist, aktivieren Sie den Service mit dem Befehl svcadm.
# svcadm enable ktkt_warn
Wenn Kerberos nicht konfiguriert wurde, führen Sie das kclient-Dienstprogramm aus, um Kerberos zu konfigurieren; dadurch wird auch der ktkt_warn-Service aktiviert.
Weitere Informationen zu dem kclient-Dienstprogramm finden Sie in der kclient(1M)-Manpage.
Der kryptografische Framework-Daemon auf Kernel-Ebene, kcfd, kann in Branded Zones unter Oracle Solaris 10 abstürzen. Dies geschieht, wenn eine Anwendung den kcfd-Daemon für einen Benutzer aufruft, der Mitglied von 16 oder mehr UNIX-Gruppen ist.
Dieser Fehler des kcfd-Daemons könnte auch dazu führen, dass der svc:/system/cryptosvc:default-Service in den Wartungsmodus geschaltet wird, was wiederum dazu führt, dass die libpkcs11-Bibliothek nicht mehr arbeitet. Weitere Informationen finden Sie in der Manpage libpkcs11(3LIB).
Dieser Crash führt auch dazu, dass Anwendungen oder Befehle wie ssh und Java die SPARC-Hardwarebeschleunigung von kryptografischen Vorgängen nicht nutzen können, und dass andere Anwendungen und Befehle wie encrypt und decrypt vollständig ausfallen.
Problemumgehung: Um Abstürze zu vermeiden, erhöhen Sie die maximale Anzahl von Gruppen pro Benutzer in der globalen Zone, sodass sie die Anzahl von Gruppen überschreitet, die einem Benutzer zugewiesen werden können. Beispiel: Wenn ein Benutzer 31 Gruppen zugewiesen werden kann, würden Sie die folgende Zeile zu der Datei /etc/system in der globalen Zone hinzufügen:
set ngroups_max = 32
Der maximale Wert, der ngroups_max zugewiesen werden kann, beträgt 1024.
Wenn Sie manuelle Änderungen an den LDAP-Konfigurationsdateien /etc/openldap/ldap.conf und /etc/openldap/slapd.conf vorgenommen haben, sind die Sicherheitseinstellungen für die TLS-Cipher Suite möglicherweise falsch.
Problemumgehung: Wenn Sie Ihre eigenen LDAP-Konfigurationsdateien verwalten, müssen Sie die folgenden Änderungen vornehmen, um die Sicherheit des Systems zu gewährleisten:
Legen Sie in der Datei /etc/openldap/ldap.conf die Werte TLS_PROTOCOL_MIN und TLS_CIPHER_SUITE folgendermaßen fest:
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Legen Sie in der Datei /etc/openldap/slapd.conf die Werte TLSProtocolMin und TLSCipherSuite folgendermaßen fest:
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA