跳过导航链接 | |
退出打印视图 | |
从 Oracle Solaris 10 转换到 Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (简体中文) |
Oracle Solaris 11 引入了以下主要的安全变更:
地址空间布局随机化 (Address Space Layout Randomization, ASLR)-从 Oracle Solaris 11.1 开始,ASLR 机制会随机分配供给定二进制文件使用的地址。ASLR 可使特定类型的攻击(即那些基于掌握特定内存范围的确切位置而发起的攻击)失败,并且可以在有人尝试停止可执行文件时检测到这种意图。使用 sxadm 命令配置 ASLR。使用 elfedit 命令更改二进制文件的标记。请参见 sxadm(1M) 和 elfedit(1)。
管理编辑器-从 Oracle Solaris 11.1 开始,可以使用 pfedit 命令编辑系统文件。如果系统管理员做了定义,则该编辑器的值为 $EDITOR。如果未定义,则编辑器缺省为 vi 命令。启动编辑器的操作如下所示:
$ pfedit system-filename
请参见 pfedit(1M) 手册页和《Oracle Solaris 11.1 管理:安全服务》中的第 3 章 "控制对系统的访问(任务)"。
审计-审计现在是一种服务,并且在缺省情况下启用。当禁用或启用该服务时,不需要进行重新引导。auditconfig 命令用于查看关于审计策略的信息和更改审计策略。公共对象的审计在审计迹中生成的噪音较少。此外,审计非内核事件不产生任何性能影响。
有关为审计文件创建 ZFS 文件系统的信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何为审计文件创建 ZFS 文件系统"。
审计远程服务器 (Audit Remote Server, ARS)-ARS 功能可接收并存储来自正被审计且配置有活动的 audit_remote 插件的系统的审计记录。为了区分被审计系统与 ARS,可以将被审计系统称为本地被审计系统。此功能是 Oracle Solaris 11.1 中新增的。请参阅 auditconfig(1M) 手册页中有关 -setremote 选项的信息。
基本审计报告工具 (Basic Audit Reporting Tool, BART)-BART 使用的缺省散列现在是 SHA256,而不是 MD5。除了缺省的 SHA256,您还可以选择散列算法。请参见《Oracle Solaris 11.1 管理:安全服务》中的第 6 章 "使用 BART 验证文件完整性(任务)"。
加密框架-此功能现在包括更多算法、机制、插件以及 Intel 和 SPARC T4 硬件加速的支持。另外,Oracle Solaris 11 提供与 NSA 套件 B 加密更好的对齐。
Kerberos DTrace 提供者-已添加为 Kerberos 消息(协议数据单元)提供探测器的新 DTrace USDT 提供者。这些探测器是仿照 RFC4120 中所介绍的 Kerberos 消息类型建立的。
主要的管理增强功能:
可信平台模块中 RSA 密钥的 PKCS#11 密钥库支持
对集中企业密钥管理的 Oracle 密钥管理程序的 PKCS#11 访问
lofi 命令更改-lofi 现在支持块设备的加密。请参见 lofi(7D)。
profiles 命令更改-在 Oracle Solaris 10 中,此命令仅用来列出特定用户或角色的配置文件,或列出用户对特定命令的特权。在 Oracle Solaris 11 中,还可以使用 profiles 命令在文件和 LDAP 中创建和修改配置文件,请参见 profiles(1)。
sudo 命令-sudo 命令是 Oracle Solaris 11 中的新命令。此命令会在运行其他命令时生成 Oracle Solaris 审计记录。如果 sudoers 命令项标记为 NOEXEC,此命令还会删除 proc_exec 基本特权。
ZFS 文件系统加密-ZFS 文件系统加密专门用于保护数据安全。请参见加密 ZFS 文件系统。
rstchown 属性-在先前发行版中用于限制 chown 操作的 rstchown 可调参数现在是 ZFS 文件系统属性 rstchown,并且还是常规文件系统挂载选项。请参见《Oracle Solaris 11.1 管理:ZFS 文件系统》和 mount(1M)。
如果尝试在 /etc/system 文件中设置此过时参数,将显示以下消息:
sorry, variable 'rstchown' is not defined in the 'kernel'
支持以下网络安全功能:
Internet 密钥交换 (Internet Key Exchange, IKE) 和 IPsec-IKE 现在包括更多 Diffie-Hellman 组,并且还可以使用椭圆曲线加密算法 (Elliptic Curve Cryptography, ECC) 组。IPsec 包括 AES-CCM 和 AES-GCM 模式,并且现在能够保护 Oracle Solaris (Trusted Extensions) 的 Trusted Extensions 功能的网络流量。
IPfilter 防火墙-IPfilter 防火墙与开源 IPfilter 功能类似,兼容、可管理,并且现在与 SMF 高度集成。通过此功能,可以根据 IP 地址对端口进行选择性访问。
Kerberos-现在能够进行客户机和服务器的相互验证。此外,已引入通过结合使用 X.509 证书和 PKINIT 协议对初始验证的支持。请参见《Oracle Solaris 11.1 管理:安全服务》中的第 VI 部分, "Kerberos 服务"。
Secure by Default-在 Oracle Solaris 10 中引入了此功能,但该功能为 netservices limited,而且在缺省情况下处于关闭状态。在 Oracle Solaris 11 中,此功能处于启用状态。Secure by Default 功能用于禁用和保护几个网络服务免于攻击,并提供最少的网络风险。请注意仅启用 SSH。
SSH-使用 X.509 证书支持主机和用户验证现在可用。
引入了以下可插拔验证模块 (Pluggable Authentication Module, PAM) 更改:
模块支持基于每个用户配置 PAM 栈-与新的 RBAC pam_policy 密钥 (user_attr(4)) 结合使用时,该模块允许基于每个用户配置 PAM 验证策略。此外,还更新了缺省 pam.conf 文件,使您能够通过在用户扩展属性或分配给用户的配置文件中指定 pam_policy 来使用此功能。例如:
# usermod -K pam_policy=krb5_only username
请参见 pam_user_policy(5)。
/etc/pam.d 中的 PAM 配置-通过使用基于服务的文件增加 PAM 配置支持。因此,根据相关 PAM 服务的名称,将 /etc/pam.conf 文件的内容迁移至 /etc/pam.d/ 目录中的多个文件。现在该机制已成为在 Oracle Solaris 中配置 PAM 的方法,并且是用于所有新安装的缺省方法。由于仍会检查 /etc/pam.conf 文件,因此可以继续识别对该文件所做的任何现有更改或新更改。
如果您从未编辑 /etc/pam.conf 文件,则该文件仅包含指导您了解 /etc/pam.d/ 目录中每个服务的等效项的注释。如果您之前编辑过 /etc/pam.conf 文件(例如,启用 LDAP 或 Kerberos),则会提供一个名为 /etc/pam.conf.new 的新文件,其中包含您所做的更改。请参见 pam.conf(4)。
将 definitive 标记添加到 pam.conf 中-pam.conf 文件现在包含 definitive control_flag。请参见 pam.conf(4)。
Oracle Solaris 11 中不包括以下安全功能:
自动化安全增强工具 (Automated Security Enhancement Tool, ASET)-ASET 功能被 IPfilter 组合所取代,该组合包括 svc.ipfd、BART、SMF 和 Oracle Solaris 11 中支持的其他安全功能。
Smartcard-Smartcard 支持不再可用。