ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 10 から Oracle Solaris 11.1 への移行 Oracle Solaris 11.1 Information Library (日本語) |
1. Oracle Solaris 10 から Oracle Solaris 11 リリースへの移行 (概要)
2. Oracle Solaris 11 インストール方法への移行
Oracle Solaris 11 では、セキュリティーに関する次の重要な変更が加えられました。
アドレス空間レイアウトのランダム化 (ASLR) – Oracle Solaris 11.1 以降、ASLR は、ある特定のバイナリで使用されるアドレスをランダム化します。ASLR は、ある一定のメモリー範囲の正確な場所の把握に基づいた特定の種類の攻撃を失敗させ、その企てによって実行可能ファイルが停止する可能性が高い場合に検出します。ASLR を構成するには、sxadm コマンドを使用します。バイナリ上のタグを変更するには、elfedit コマンドを使用します。sxadm(1M) および elfedit(1) を参照してください。
管理エディタ – Oracle Solaris 11.1 以降、pfedit コマンドを使用してシステムファイルを編集できます。システム管理者によって定義された場合、このエディタの値は $EDITOR です。定義されていない場合、エディタのデフォルトは vi コマンドに設定されます。次のようにエディタを起動します。
$ pfedit system-filename
pfedit(1M) のマニュアルページおよび『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 3 章「システムアクセスの制御 (タスク)」を参照してください。
監査 – 監査は現在サービスであり、デフォルトで有効になっています。このサービスを有効または無効にするときにリブートは必要ありません。監査ポリシーに関する情報を表示したり、監査ポリシーを変更したりするには、auditconfig コマンドを使用します。公開オブジェクトの監査によって、監査トレール内に生成されるノイズが減少します。また、カーネル以外のイベントの監査は、パフォーマンスにまったく影響しません。
監査ファイル用の ZFS ファイルシステムの作成については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「監査ファイルのための ZFS ファイルシステムを作成する方法」を参照してください。
監査リモートサーバー (ARS) – ARS は、監査中かつアクティブな audit_remote プラグインで構成されているシステムから監査レコードを受信して格納する機能です。監査対象のシステムは、ARS と区別するため、ローカルで監査されるシステムと呼ばれることがあります。これは Oracle Solaris 11.1 の新機能です。auditconfig(1M) のマニュアルページの -setremote オプションに関する情報を参照してください。
基本監査報告機能 (BART) – BART によって使われるデフォルトのハッシュは現在 MD 5 ではなく SHA256 です。SHA256 がデフォルトになっているのに加え、ハッシュアルゴリズムを選択することもできます。『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 6 章「BART を使用したファイル整合性の検証 (タスク)」を参照してください。
暗号化フレームワーク – この機能には、Intel および SPARC T4 ハードウェアアクセラレーション用のアルゴリズム、メカニズム、プラグイン、およびサポートがさらに追加されました。また、Oracle Solaris 11 は NSA Suite B 暗号方式ともより密接に連携しています。
Kerberos DTrace プロバイダ – Kerberos メッセージ (Protocol Data Unit) 用のプローブを提供する新しい DTrace USDT プロバイダが追加されました。それらのプローブは、RFC4120 に記述されている Kerberos メッセージタイプのあとにモデル化されます。
鍵管理の機能拡張:
Trusted Platform Module の RSA 鍵に対する PKCS#11 キーストアのサポート
集中型エンタープライズ鍵管理用の Oracle Key Manager への PKCS#11 アクセス
lofi コマンドの変更 – lofi ではブロックデバイスの暗号化をサポートするようになりました。lofi(7D) を参照してください。
profiles コマンドの変更点 – Oracle Solaris 10 では、このコマンドは特定ユーザーまたは役割に関するプロファイル、または特定コマンドに対するユーザーの特権を一覧表示するために使用されるだけです。Oracle Solaris 11 では、profiles コマンドを使用して、ファイルおよび LDAP のプロファイルを作成および変更することもできます。profiles(1) を参照してください。
sudo コマンド – Oracle Solaris 11 では sudo コマンドが新しく追加されました。このコマンドは、コマンドの実行時に Oracle Solaris 監査レコードを生成します。また、このコマンドは、sudoers コマンドのエントリに NOEXEC のタグが付けられている場合に proc_exec 基本特権を削除します。
ZFS ファイルシステムの暗号化 – ZFS ファイルシステムの暗号化は、データをセキュリティー保護しておくために作られたものです。「ZFS ファイルシステムの暗号化」を参照してください。
rstchown プロパティー – 以前のリリースで chown 操作を制限するために使用されるチューニング可能パラメータ rstchown は、ZFS ファイルシステムのプロパティー rstchown になりました。これは、一般的なファイルシステムのマウントオプションでもあります。『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』および mount(1M) を参照してください。
この廃止されたパラメータを /etc/system ファイルに設定しようとすると、次のメッセージが表示されます:
sorry, variable 'rstchown' is not defined in the 'kernel'
次のネットワークセキュリティー機能がサポートされています。
IKE (Internet Key Exchange) と IPsec – IKE にはより多くの Diffie-Hellman グループが含まれるようになり、楕円曲線暗号方式 (ECC) グループも使用できます。IPsec には AES-CCM および AES-GCM モードが含まれ、Oracle Solaris (Trusted Extensions) の Trusted Extensions 機能のネットワークトラフィックを保護できるようになりました。
IPfilter ファイアウォール – オープンソースの IPfilter 機能に似た IPfilter ファイアウォールは、互換性があり管理も容易で、今回 SMF と高度に統合されました。この機能を使用すると、IP アドレスに基づいて、ポートを選択的に使えるようになります。
Kerberos – Kerberos では、クライアントとサーバーの相互認証ができるようになりました。また、X.509 証明書を PKINIT プロトコルで使用することによって初期認証もサポートされるようになりました。『Oracle Solaris 11.1 の管理: セキュリティーサービス』のパート VI「Kerberos サービス」を参照してください。
デフォルトでセキュリティー保護する – Oracle Solaris 10 では、この機能が導入されましたが、netservices limited も導入され、デフォルトでオフになっていました。Oracle Solaris 11 では、この機能は有効になっています。デフォルトでセキュリティー保護する機能は、いくつかのネットワークサービスを無効にして攻撃から保護するために使用され、ネットワークエクスポージャーを最小限に抑えます。SSH のみが有効です。
SSH – X.509 証明書の使用により、ホストおよびユーザー認証がサポートされるようになりました。
次のプラグイン可能認証モジュール (PAM) の変更が導入されます。
ユーザー単位の PAM スタックを有効にするためのモジュール - 新しい pam_policy キーとともに使用すると、PAM 認証ポリシーをユーザー単位で構成できます (user_attr(4))。デフォルトの pam.conf ファイルも、ユーザーの拡張属性またはユーザーに割り当てられたプロファイル内で pam_policy を指定することによってこの機能を使用できるように更新されました。例:
# usermod -K pam_policy=krb5_only username
pam_user_policy(5) を参照してください。
/etc/pam.d 内の PAM 構成 – サービス単位のファイルを使用して PAM の構成のサポートを追加します。その結果、関連する PAM サービス名に基づき、/etc/pam.conf ファイルの内容が /etc/pam.d/ ディレクトリ内の複数のファイルに移行されました。このメカニズムが Oracle Solaris で PAM を構成するための方法になりました。すべての新規インストールに使用されるデフォルトの方法です。/etc/pam.conf ファイルは引き続き参照されるため、このファイルに加えられる既存または新しい変更は引き続き認識されます。
/etc/pam.conf ファイルを編集したことがない場合、ファイルには、/etc/pam.d/ ディレクトリ内のサービスごとのファイルについて案内するコメントのみが含まれます。たとえば LDAP または Kerberos を有効にするように /etc/pam.conf ファイルを編集した場合、加えた変更を含む /etc/pam.conf.new という名前の新しいファイル名が提供されます。pam.conf(4)を参照してください。
pam.conf に追加された definitive フラグ – pam.conf ファイルに definitive control_flag が含まれるようになりました。pam.conf(4)を参照してください。
次のセキュリティー機能は、Oracle Solaris 11 から除外されています。
自動セキュリティー拡張ツール (ASET) – ASET 機能は、Oracle Solaris 11 でサポートされている svc.ipfd、BART、SMF などのセキュリティー機能を含む、IPfilter の組み合わせで置き換えられています。
スマートカード – スマートカードのサポートは中止になりました。