ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 10 から Oracle Solaris 11 への移行 Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris 10 から Oracle Solaris 11 への移行 (概要)
2. Oracle Solaris 11 インストール方法への移行
10. 仮想環境での Oracle Solaris リリースの管理
Oracle Solaris 11 では、セキュリティーに関する次の重要な変更が加えられました。
監査 – 監査は現在サービスであり、デフォルトで有効になっています。このサービスを有効または無効にするときにリブートは必要ありません。監査ポリシーに関する情報を表示したり、監査ポリシーを変更したりするには、auditconfig コマンドを使用します。公開オブジェクトの監査によって、監査トレール内に生成されるノイズが減少します。また、カーネル以外のイベントの監査は、パフォーマンスにまったく影響しません。
監査ファイル用の ZFS ファイルシステムの作成については、『Oracle Solaris の管理: セキュリティーサービス』の「監査ファイルのための ZFS ファイルシステムを作成する方法」を参照してください。
基本監査報告機能 (BART) – BART によって使われるデフォルトのハッシュは現在 MD 5 ではなく SHA256 です。SHA256 がデフォルトになっているのに加え、ハッシュアルゴリズムを選択することもできます。『Oracle Solaris の管理: セキュリティーサービス』の第 6 章「基本監査報告機能の使用方法 (タスク)」を参照してください。
暗号化フレームワーク – この機能には、Intel および SPARC T4 ハードウェアアクセラレーション用のアルゴリズム、メカニズム、プラグイン、およびサポートがさらに追加されました。また、Oracle Solaris 11 は NSA Suite B 暗号方式ともより密接に連携しています。
Kerberos DTrace プロバイダ – Kerberos メッセージ (Protocol Data Unit) 用のプローブを提供する新しい DTrace USDT プロバイダが追加されました。それらのプローブは、RFC4120 に記述されている Kerberos メッセージタイプのあとにモデル化されます。
鍵管理の機能拡張:
Trusted Platform Module の RSA 鍵に対する PKCS#11 キーストアのサポート
集中型エンタープライズ鍵管理用の Oracle Key Manager への PKCS#11 アクセス
lofi コマンドの変更 – lofi ではブロックデバイスの暗号化をサポートするようになりました。lofi(7D) を参照してください。
profiles コマンドの変更点 – Oracle Solaris 10 では、このコマンドは特定ユーザーまたは役割に関するプロファイル、または特定コマンドに対するユーザーの特権を一覧表示するために使用されるだけです。Oracle Solaris 11 では、profiles コマンドを使用して、ファイルおよび LDAP のプロファイルを作成および変更することもできます。profiles(1) を参照してください。
sudo コマンド – Oracle Solaris 11 では sudo コマンドが新しく追加されました。このコマンドは、コマンドの実行時に Oracle Solaris 監査レコードを生成します。また、このコマンドは、sudoers コマンドのエントリに NOEXEC のタグが付けられている場合に proc_exec 基本特権を削除します。
ZFS ファイルシステムの暗号化 – ZFS ファイルシステムの暗号化は、データをセキュリティー保護しておくために作られたものです。「ZFS ファイルシステムの暗号化」を参照してください。
rstchown プロパティー – 以前のリリースで chown 操作を制限するために使用されるチューニング可能パラメータ rstchown は、ZFS ファイルシステムのプロパティー rstchown になりました。これは、一般的なファイルシステムのマウントオプションでもあります。『Oracle Solaris の管理: ZFS ファイルシステム』および mount(1M) を参照してください。
この廃止されたパラメータを /etc/system ファイルに設定しようとすると、次のメッセージが表示されます:
sorry, variable 'rstchown' is not defined in the 'kernel'
このリリースでは、次のネットワークセキュリティーコンポーネントがサポートされています。
IKE (Internet Key Exchange) と IPsec – IKE にはより多くの Diffie-Hellman グループが含まれるようになり、楕円曲線暗号方式 (ECC) グループも使用できます。IPsec には AES-CCM および AES-GCM モードが含まれ、Oracle Solaris (Trusted Extensions) の Trusted Extensions 機能のネットワークトラフィックを保護できるようになりました。
IPfilter ファイアウォール – オープンソースの IPfilter 機能に似た IPfilter ファイアウォールは、互換性があり管理も容易で、今回 SMF と高度に統合されました。この機能を使用すると、IP アドレスに基づいて、ポートを選択的に使えるようになります。
Kerberos – Kerberos では、クライアントとサーバーの相互認証ができるようになりました。また、X.509 証明書を PKINIT プロトコルで使用することによって初期認証もサポートされるようになりました。『Oracle Solaris の管理: セキュリティーサービス』のパート VI「Kerberos サービス」を参照してください。
デフォルトでセキュリティー保護する – Oracle Solaris 10 では、この機能が導入されましたが、netservices limited も導入され、デフォルトでオフになっていました。Oracle Solaris 11 では、この機能は有効になっています。デフォルトでセキュリティー保護する機能は、いくつかのネットワークサービスを無効にして攻撃から保護するために使用され、ネットワークエクスポージャーを最小限に抑えます。SSH のみが有効です。
SSH – X.509 証明書の使用により、ホストおよびユーザー認証がサポートされるようになりました。
次のセキュリティー機能は、Oracle Solaris 11 から除外されています。
自動セキュリティー拡張ツール (ASET) – ASET 機能は、Oracle Solaris 11 でサポートされている svc.ipfd、BART、SMF などのセキュリティー機能を含む、IPfilter の組み合わせで置き換えられています。
スマートカード – スマートカードのサポートは中止になりました。