跳过导航链接 | |
退出打印视图 | |
从 Oracle Solaris 10 转换到 Oracle Solaris 11 Oracle Solaris 11 Information Library (简体中文) |
Oracle Solaris 11 引入了以下主要的安全变更:
审计-审计现在是一种服务,并且在缺省情况下启用。当禁用或启用该服务时,不需要进行重新引导。auditconfig 命令用于查看关于审计策略的信息和更改审计策略。公共对象的审计在审计迹中生成的噪音较少。此外,审计非内核事件不产生任何性能影响。
有关为审计文件创建 ZFS 文件系统的信息,请参见《Oracle Solaris 管理:安全服务》中的"如何为审计文件创建 ZFS 文件系统"。
基本审计报告工具 (Basic Audit Reporting Tool, BART)-BART 使用的缺省散列现在是 SHA256,而不是 MD5。除了缺省的 SHA256,您还可以选择散列算法。请参见《Oracle Solaris 管理:安全服务》中的第 6 章 "使用基本审计报告工具(任务)"。
加密框架-此功能现在包括更多算法、机制、插件以及 Intel 和 SPARC T4 硬件加速的支持。另外,Oracle Solaris 11 提供与 NSA 套件 B 加密更好的对齐。
Kerberos DTrace 提供者-已添加为 Kerberos 消息(协议数据单元)提供探测器的新 DTrace USDT 提供者。这些探测器是仿照 RFC4120 中所介绍的 Kerberos 消息类型建立的。
主要的管理增强功能:
可信平台模块中 RSA 密钥的 PKCS#11 密钥库支持
对集中企业密钥管理的 Oracle 密钥管理程序的 PKCS#11 访问
lofi 命令更改-lofi 现在支持块设备的加密。请参见 lofi(7D)。
profiles 命令更改-在 Oracle Solaris 10 中,此命令仅用来列出特定用户或角色的配置文件,或列出用户对特定命令的特权。在 Oracle Solaris 11 中,profiles 命令还可用来在文件和 LDAP 中创建和修改配置文件,请参见profiles(1)。
sudo 命令-sudo 命令是 Oracle Solaris 11 中的新命令。此命令会在运行其他命令时生成 Oracle Solaris 审计记录。如果 sudoers 命令项标记为 NOEXEC,此命令还会删除 proc_exec 基本特权。
ZFS 文件系统加密-ZFS 文件系统加密专门用于保护数据安全。请参见加密 ZFS 文件系统。
rstchown 属性-在先前发行版中用于限制 chown 操作的 rstchown 可调参数现在是 ZFS 文件系统属性 rstchown,并且还是常规文件系统挂载选项。请参见《Oracle Solaris 管理:ZFS 文件系统》和mount(1M)。
如果尝试在 /etc/system 文件中设置此过时参数,将显示以下消息:
sorry, variable 'rstchown' is not defined in the 'kernel'
本发行版中支持以下网络安全组件:
Internet 密钥交换 (Internet Key Exchange, IKE) 和 IPsec-IKE 现在包括更多 Diffie-Hellman 组,并且还可以使用椭圆曲线加密算法 (Elliptic Curve Cryptography, ECC) 组。IPsec 包括 AES-CCM 和 AES-GCM 模式,并且现在能够保护 Oracle Solaris (Trusted Extensions) 的 Trusted Extensions 功能的网络流量。
IPfilter 防火墙-IPfilter 防火墙与开源 IPfilter 功能类似,兼容、可管理,并且现在与 SMF 高度集成。通过此功能,可以根据 IP 地址对端口进行选择性访问。
Kerberos-现在能够进行客户机和服务器的相互验证。此外,已引入通过结合使用 X.509 证书和 PKINIT 协议对初始验证的支持。请参见《Oracle Solaris 管理:安全服务》中的第 VI 部分, "Kerberos 服务"。
Secure by Default-在 Oracle Solaris 10 中引入了此功能,但该功能为 netservices limited,而且在缺省情况下处于关闭状态。在 Oracle Solaris 11 中,此功能处于启用状态。Secure by Default 功能用于禁用和保护几个网络服务免于攻击,并提供最少的网络风险。请注意仅启用 SSH。
SSH-使用 X.509 证书支持主机和用户验证现在可用。
Oracle Solaris 11 中不包括以下安全功能:
自动化安全增强工具 (Automated Security Enhancement Tool ASET)-ASET 功能由 IPfilter 的组合所取代,该组合包括 svc.ipfd、BART、SMF 和 Oracle Solaris 11 中支持的其他安全功能。
Smartcard-Smartcard 支持不再可用。