このセクションでは、Oracle Solaris 11.3 リリースにおけるセキュリティーソフトウェアに関する問題について説明します。
Oracle Solaris 11.2 以降、T4 命令および Intel ハードウェアアクセラレーションは、非 FIPS-140 OpenSSL の OpenSSL 内部暗号化実装に組み込まれました。ssh および sshd は T4 システム以降のバージョンで OpenSSL pkcs11 エンジンをデフォルトで使用するため、この変更はこれらのサービスのパフォーマンスに影響を与えます。
回避方法: 最高のパフォーマンスを得るには、OpenSSL pkcs11 エンジンを無効にします。
ssh および sshd サービスで pkcs11 エンジンを無効にするには、次の手順を実行します。
次の行を /etc/ssh/ssh_config および /etc/ssh/sshd_config ファイルに追加します。
UseOpenSSLEngine no
ssh サービスを再起動します。
# svcadm restart ssh
ユーザーの Kerberos 資格の更新および資格の期限切れ警告に使用される ktkt_warn サービスは、デフォルトで無効になりました。次のエラーメッセージが表示されます。
kinit: no ktkt_warnd warning possible
回避方法: 次のいずれかの回避方法を選択してサービスを有効にします。
システムで Kerberos がすでに構成されている場合は、svcadm コマンドを使用してサービスを有効にします。
# svcadm enable ktkt_warn
Kerberos が構成されていない場合は、kclient ユーティリティーを実行して Kerberos を構成します。このとき、ktkt_warn サービスも有効になります。
kclient ユーティリティーの詳細については、kclient(1M) のマニュアルページを参照してください。
カーネルレベルの暗号化フレームワークデーモン kcfd は、Oracle Solaris 10 を実行しているブランドゾーンでクラッシュする場合があります。このクラッシュは、アプリケーションで 16 個以上の UNIX グループのメンバーであるユーザーが kcfd デーモンを呼び出した場合に発生します。
kcfd デーモンのこの障害によって、svc:/system/cryptosvc:default サービスが保守モードに切り替わる場合もあります。この場合は、さらに libpkcs11 ライブラリが機能を停止します。詳細は、libpkcs11(3LIB) のマニュアルページを参照してください。
このクラッシュにより、ssh や Java などのアプリケーションまたはコマンドも暗号化操作の SPARC ハードウェアアクセラレーションを使用できなくなります。さらに、encrypt や decrypt などのその他のアプリケーションまたはコマンドが完全に失敗する可能性があります。
回避方法: クラッシュを回避するには、大域ゾーン内のユーザーあたりのグループの最大数を、ユーザーに割り当てることのできるグループの数を超えるように増やします。たとえば、ユーザーを 31 グループに割り当てることができる場合は、大域ゾーン内の /etc/system ファイルに次の行を追加します。
set ngroups_max = 32
ngroups_max に割り当てることのできる最大値は 1024 です。
LDAP 構成ファイル /etc/openldap/ldap.conf および /etc/openldap/slapd.conf に対して手動の変更を行なった場合は、TLS 暗号化スイートのセキュリティー設定が正しくない可能性があります。
回避方法: ユーザー独自の LDAP 構成ファイルを保持している場合は、セキュアなシステムを維持するために次の変更を行います。
/etc/openldap/ldap.conf ファイルで、TLS_PROTOCOL_MIN および TLS_CIPHER_SUITE 値を次のように設定します。
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
/etc/openldap/slapd.conf で、TLSProtocolMin および TLSCipherSuite 値を次のように設定します。
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA