セキュリティーの機能拡張

Oracle Solaris 10 8/11 リリースでは、次のセキュリティー拡張機能が追加されました。

Oracle Key Manager の `PKCS#11` プロバイダ

新しい PKCS#11 プロバイダは、標準の Oracle Solaris 暗号化フレームワークおよび鍵管理フレームワークのインタフェースを使用して Oracle Key Manager (OKM) の機能にアクセスできます。この機能には次のものがあります。

OKM で AES (Advanced Encryption Standard) 非公開鍵を作成して格納する
生成された鍵を使用してデータを暗号化および復号化する
格納された鍵を削除する

格納した AES 鍵は、対称暗号化操作に使用できます。

KSSL での AES 暗号化方式群のサポート

Oracle Solaris では、カーネル SSL (Secure Sockets Layer) で次の AES 暗号化方式群をサポートします。

TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

これらの暗号化方式群は、RFC 3268 (AES cipher suites for Transport Layer Security) に定義されています。詳細は、ksslcfg(1M) のマニュアルページを参照してください。

新しいパスワードを割り当ててもロックされたアカウントはロック解除されない

Oracle Solaris 10 8/11 リリース以降、新しいパスワードを割り当ててもロックされたアカウントはロック解除されなくなりました。この機能により、システム管理者がロックされたアカウントを不注意に有効するのを防げます。

このリリースより前では、ユーザーアカウントが (システム管理者により、または、ログインに何度も失敗したあとに) ロックされると、そのアカウントは次のいずれかの方法でロック解除することができました。

passwd -u オプションを使用する
passwd -d オプションを使用してパスワードエントリを削除する
新しいパスワードを割り当てる

passwd -u を使用してアカウントをロック解除したり、passwd -d を使用してパスワードエントリを削除し、アカウントをロック解除することは引き続き可能です。パスワードエントリを削除してアカウントをロック解除したあとで、新しいパスワードを割り当てることができます。

詳細は、passwd(1) のマニュアルページを参照してください。

パスワード作成ポリシーがデフォルトで `root` ユーザーに適用される

このリリースより前では、root ユーザー (user id 0) は /etc/default/passwd ファイルに設定されたどのパスワードポリシー制約からも除外されていました。Oracle Solaris 10 8/11 リリース以降、設定されたパスワードポリシーがデフォルトで root ユーザーに適用されます。この設定により、システム管理者が、システム用に設定されたポリシーセットに準拠しないパスワードを誤って設定するのを防げます。

詳細は、passwd(1) のマニュアルページと、pam_authtok_check(5) のマニュアルページの force_check オプションの説明を参照してください。

`chroot` 機能

Oracle Solaris 10 8/11 リリース以降、Oracle SSH で chroot 機能をサポートするようになりました。管理者は、この機能を使用して、見かけ上のルートディレクトリを現在実行中のプロセスとその子用に変更できます。chroot 環境で実行されているプログラムは、指定されたディレクトリツリーの外部にあるディレクトリやファイルにはアクセスできません。

詳細は、sshd_config(4) のマニュアルページの ChrootDirectory オプションの説明を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 10 8/11 の新機能 Oracle Solaris 10 8/11 Information Library (日本語)