이 절에서는 Oracle Solaris 11.3 릴리스의 보안 소프트웨어 관련 문제에 대해 설명합니다.
Oracle Solaris 11.2부터 T4 명령 및 Intel 하드웨어 가속이 non-FIPS-140 OpenSSL에 대한 OpenSSL 내부 암호화 구현에 포함됩니다. 따라서 이러한 서비스가 기본적으로 T4 시스템 및 이후 버전에서 OpenSSL pkcs11 엔진을 사용하기 때문에 이러한 변화는 ssh, sshd 성능에 영향을 줍니다.
임시해결책: 최대 성능을 얻기 위해서는 OpenSSL pkcs11 엔진을 사용 안함으로 설정하십시오.
다음 단계에 따라 ssh 및 sshd 서비스에 대해 pkcs11 엔진을 사용 안함으로 설정합니다.
/etc/ssh/ssh_config 및 /etc/ssh/sshd_config 파일에 다음 라인을 추가합니다.
UseOpenSSLEngine no
ssh 서비스를 다시 시작합니다.
# svcadm restart ssh
사용자의 Kerberos 자격 증명을 갱신하고 자격 증명 만료를 경고하는 데 사용되는 ktkt_warn 서비스는 이제 기본적으로 사용 안함으로 설정됩니다. 다음과 같은 오류 메시지가 나타납니다.
kinit: no ktkt_warnd warning possible
임시해결책: 다음 임시해결책 중 하나를 선택하여 서비스를 사용으로 설정하십시오.
시스템에 이미 Kerberos가 구성된 경우 svcadm 명령을 사용하여 서비스를 사용으로 설정하십시오.
# svcadm enable ktkt_warn
Kerberos가 구성되지 않은 경우 kclient 유틸리티를 실행하여 Kerberos를 구성합니다. 그러면 ktkt_warn 서비스도 사용으로 설정됩니다.
kclient 유틸리티에 대한 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.
커널 레벨 암호화 프레임워크 데몬 kcfd가 Oracle Solaris 10을 실행하는 브랜드 영역에서 충돌할 수 있습니다. 16개 이상의 UNIX 그룹에 속해 있는 사용자가 응용 프로그램에서 kcfd 데몬을 호출하는 경우에 충돌이 발생합니다.
이 kcfd 데몬 오류로 인해 svc:/system/cryptosvc:default 서비스가 유지 관리 모드로 전환되고, libpkcs11 라이브러리가 작동을 멈출 수도 있습니다. 자세한 내용은 libpkcs11(3LIB) 매뉴얼 페이지를 참조하십시오.
또한 충돌로 인해 응용 프로그램 또는 명령(예: ssh 및 Java)이 암호화 작업의 SPARC 하드웨어 가속을 사용할 수 없게 되고, 다른 응용 프로그램 또는 명령(예: encrypt 및 decrypt)이 완전히 실패할 수도 있습니다.
임시해결책: 충돌을 방지하려면 전역 영역의 사용자당 최대 그룹 수가 사용자를 지정할 수 있는 그룹 수를 초과하도록 최대값을 늘리십시오. 예를 들어 사용자를 31개 그룹에 지정할 수 있는 경우 전역 영역의 /etc/system 파일에 다음 라인을 추가하십시오.
set ngroups_max = 32
ngroups_max에 지정할 수 있는 최대값은 1024입니다.
LDAP 구성 파일 /etc/openldap/ldap.conf 및 /etc/openldap/slapd.conf를 수동으로 수정한 경우 TLS 암호 슈트에 대한 보안 설정이 올바르지 않을 수 있습니다.
임시해결책: 고유한 LDAP 구성 파일을 유지 관리하는 경우 다음과 같이 수정하는 데 보안 시스템을 유지 관리하십시오.
/etc/openldap/ldap.conf 파일에서 TLS_PROTOCOL_MIN 및 TLS_CIPHER_SUITE 값을 다음과 같이 설정합니다.
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
/etc/openldap/slapd.conf 파일에서 TLSProtocolMin 및 TLSCipherSuite 값을 다음과 같이 설정합니다.
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA