Modifications apportées aux fonctions de sécurité

Oracle Solaris 11 introduit les modifications clé suivantes en matière de sécurité :

Audit : l'audit est désormais un service activé par défaut. Il est inutile de réinitialiser après désactivation ou activation de ce service. La commande auditconfig permet d'afficher des informations sur la stratégie d'audit et de modifier celle-ci. L'audit des objets publics génère moins de bruit dans la piste d'audit. En outre, l'audit d'événements non noyau n'a aucun impact sur les performances du système.

Pour plus d'informations sur la création d'un système de fichiers ZFS destiné aux fichiers d'audit, reportez-vous à la section Procédure de création de systèmes de fichiers ZFS pour les fichiers d’audit du manuel Administration d’Oracle Solaris : services de sécurité.
Outil BART : l'algorithme de hachage par défaut utilisé par l'outil de rapport d'audit de base BART (Basic Audit Reporting Tool) est désormais SHA256, et non MD5. En outre, vous pouvez sélectionner l'algorithme de hachage. Reportez-vous au Chapitre 6, Utilisation de l’outil de génération de rapports d’audit de base (tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
Structure cryptographique : cette fonction inclut maintenant davantage d'algorithmes, de mécanismes, de plug-ins et de prise en charge de l'accélération matérielle Intel et SPARC T4. En outre, Oracle Solaris 11 présente un meilleur alignement à la cryptographie NSA Suite B.
Fournisseurs Kerberos DTrace : un nouveau fournisseur DTrace USDT a été ajouté afin de fournir des sondes pour les messages Kerberos (Protocol Data Unit, unité de données de protocole). Les sondes sont modélisées d'après les types de messages Kerberos décrits dans RFC4120.
Principales améliorations en matière de gestion :
- Prise en charge de keystore PKCS#11 pour les clés RSA dans le module de plate-forme de confiance TPM (Trusted Platform Module)
- Accès PKCS#11 au gestionnaire de clés Oracle (Oracle Key Manager) pour la gestion centralisée des clés d'entreprise
Modification de la commande lofi : la commande lofi prend désormais en charge le chiffrement des périphériques en mode bloc. Reportez-vous à la page de manuel lofi(7D).
Modification de la commande profiles : dans Oracle Solaris 10, cette commande permet uniquement de répertorier les profils d'un utilisateur ou rôle particulier, ou bien les privilèges d'un utilisateur concernant certaines commandes. Dans Oracle Solaris 11, vous pouvez également créer et modifier des profils dans les fichiers et dans LDAP par le biais de la commande profiles. Reportez-vous à la page de manuel profiles(1).
Commande sudo : la commande sudo est une nouvelle commande d'Oracle Solaris 11. Elle génère des enregistrements d'audit Oracle Solaris lors de l'exécution de commandes. En outre, elle supprime le privilège de base proc_exec si l'entrée de commande sudoers est marquée NOEXEC.
Chiffrement des systèmes de fichiers ZFS : cette fonction permet de sécuriser vos données. Reportez-vous à la section Chiffrement des systèmes de fichiers ZFS.
Propriété rstchown : le paramètre réglable rstchown utilisé dans les versions précédentes et permettant de restreindre les opérations chown correspond maintenant à la propriété de système de fichier ZFS rstchown, qui est également une option de montage de systèmes de fichiers générale. Reportez-vous à la section Administration d’Oracle Solaris : Systèmes de fichiers ZFS et à la page de manuel mount(1M).

Si vous tentez de définir ce paramètre obsolète dans le fichier /etc/system, le message suivant s'affiche :
```
sorry, variable 'rstchown' is not defined in the 'kernel'
```

Fonctions de sécurité réseau

Les composants de sécurité réseau suivants sont pris en charge dans cette version :

IKE et IPsec : la fonction d'échange de clé Internet IKE (Internet Key Exchange) inclut maintenant davantage de groupes Diffie-Hellman et peut également utiliser les groupes à cryptographie de courbe elliptique ECC (Elliptic Curve Cryptography). IPsec inclut les modes AES-CCM et AES-GCM et peut désormais protéger le trafic réseau pour la fonction d'extensions de confiance Trusted Extensions d'Oracle Solaris.
Pare-feu IPfilter : le pare-feu IPfilter, similaire à la fonction IPfilter open source, est compatible, gérable et maintenant fortement intégré avec SMF. Cette fonctionnalité permet un accès sélectif à des ports, reposant sur l'adresse IP.
Kerberos : Kerberos permet désormais l'authentification mutuelle des clients et des serveurs. En outre, la prise en charge de l'authentification initiale à l'aide de certificats X.509 avec le protocole PKINIT a été introduite. Reportez-vous à la Partie VI, Service Kerberos du manuel Administration d’Oracle Solaris : services de sécurité.
Secure by Default : cette fonction a été introduite sous Oracle Solaris 10, mais était limitée aux netservices et désactivée par défaut. Sous Oracle Solaris 11, cette fonction est activée. La fonction de sécurisation par défaut Secure by Default est utilisée pour désactiver plusieurs services réseau, les protéger contre des attaques et réduire l'exposition générale du réseau. Notez que seul SSH est activé.
SSH : l'authentification des hôtes et des utilisateurs au moyen de certificats X.509 est désormais prise en charge.

Fonctions de sécurité supprimées

Les fonctions de sécurité suivantes sont exclues d'Oracle Solaris 11 :

Outil ASET : l'outil ASET (Automated Security Enhancement Tool, outil de renforcement de sécurité automatisé) est remplacé par une combinaison d'IPfilter incluant svc.ipfd , BART, SMF et d'autres fonctions de sécurité prises en charge par Oracle Solaris 11.
Cartes à puce : les cartes à puce ne sont plus prises en charge.

Ignorer les liens de navigation
Quitter l'aperu
	Transition d'Oracle Solaris 10 vers Oracle Solaris 11 Oracle Solaris 11 Information Library (Français)