Esta seção descreve problemas com o software de segurança no Oracle Solaris release 11.3.
A partir do Oracle Solaris 11.2, as instruções do T4 e a aceleração do hardware Intel estão incorporadas na implementação da criptografia interna do OpenSSL não FIPS-140. Essa alteração afeta o desempenho do ssh e do sshd, pois esses serviços usam o mecanismo pkcs11 do OpenSSL por padrão em sistemas T4 e em versões posteriores.
Solução alternativa: para obter o desempenho máximo, desative o mecanismo pkcs11 do OpenSSL.
Execute as seguintes etapas para desativar o mecanismo pkcs11 para os serviços ssh e sshd:
Adicione a seguinte linha aos arquivos /etc/ssh/ssh_config e /etc/ssh/sshd_config:
UseOpenSSLEngine no
Reinicie o serviço ssh.
# svcadm restart ssh
O serviço ktkt_warn, usado para renovar as credenciais Kerberos de um usuário e para avisar sobre a expiração da credencial, agora está desativado por padrão. A seguinte mensagem de erro é exibida:
kinit: no ktkt_warnd warning possible
Solução alternativa: escolha uma das seguintes soluções alternativas para ativar o serviço:
Se o sistema já tiver o Kerberos configurado, use o comando svcadm para ativar o serviço.
# svcadm enable ktkt_warn
Se o Kerberos não tiver sido configurado, execute o utilitário kclient para configurar o Kerberos, que também ativará o serviço ktkt_warn.
Para obter mais informações sobre o utilitário kclient, consulte a página man kclient(1M).
O daemon do framework criptográfico no nível do kernel, kcfd, pode falhar em zonas não ativas que estão executando o Oracle Solaris 10. A falha ocorre quando o aplicativo executa uma chamada para o daemon kcfd feita por um usuário que não é membro dos 16 ou mais grupos UNIX.
Essa falha do daemon kcfd também pode fazer com o que o serviço svc:/system/cryptosvc:default entre no modo de manutenção, o que, por sua vez, faz com que a biblioteca libpkcs11 pare de funcionar. For information, see the libpkcs11(3LIB) man page.
A falha também faz com que aplicativos ou comandos como ssh e Java não consigam usar a aceleração do hardware SPARC de operações criptográficas. Além disso, pode fazer com que outros aplicativos ou comandos, como encrypt e decrypt, falhem por completo.
Solução alternativa: para evitar a falha, aumente o número de grupos por usuário na zona global para maximizar o número de grupos a que um usuário pode ser atribuído. Por exemplo, se for possível atribuir 31 grupos a um usuário, você adiciona a linha a seguir ao arquivo /etc/system na zona global:
set ngroups_max = 32
O valor máximo que pode ser atribuído a ngroups_max é 1024.
Se você tiver feito alterações manuais nos arquivos de configuração LDAP /etc/openldap/ldap.conf e /etc/openldap/slapd.conf, pode ser que as configurações de segurança do conjunto cipher do TLS estejam incorretas.
Solução alternativa: se você mantiver seus próprios arquivos de configuração LDAP, faça as seguintes modificações para manter um sistema seguro:
No arquivo /etc/openldap/ldap.conf, defina os valores TLS_PROTOCOL_MIN e TLS_CIPHER_SUITE da seguinte forma:
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Em /etc/openldap/slapd.conf, defina os valores TLSProtocolMin e TLSCipherSuite da seguinte forma:
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA