Transition d'Oracle® Solaris 10 vers Oracle Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Décembre 2014
 
 

Modifications apportées aux fonctions de sécurité

    Prenez note des principales modifications suivantes en matière de sécurité :

  • Randomisation du format d'espace d'adressage (ASLR) : à partir d'Oracle Solaris 11.1, ASLR crée de manière aléatoire les adresses utilisées par un fichier binaire donné. ASLR empêche certains types d'attaques basées sur la connaissance de l'emplacement exact de certains intervalles de mémoire et détecte l'opération lorsque l'exécutable est arrêté. Exécutez la commande sxadm pour configurer ASLR. Exécutez la commande elfedit pour modifier le balisage d'un fichier binaire. Voir les pages de manuel sxadm(1M) et elfedit(1).

  • Editeur d'administration : à partir d'Oracle Solaris 11.1, vous pouvez utiliser la commande pfedit pour modifier les fichiers système. Si elle est définie par l'administrateur système, la valeur de cet éditeur est $EDITOR. Si l'éditeur n'est pas défini, sa valeur par défaut est la commande vi. Démarrez l'éditeur comme suit :

    $ pfedit system-filename

    Dans cette version, l'audit est activé par défaut. Pour un système sécurisé, utilisez les interfaces qui font toujours l'objet d'un audit lorsque l'audit des actions d'administration est activé. L'utilisation de pfedit étant systématiquement soumise à un audit, il s'agit de la commande recommandée pour la modification des systèmes de fichiers. Voir la page de manuel pfedit(1M) et le Chapitre 3, Contrôle de l’accès aux systèmes du manuel Sécurisation des systèmes et des périphériques connectés dans Oracle Solaris 11.2 .

  • Audit : l'audit est un service d'Oracle Solaris 11 qui est activé par défaut. Il n'est pas nécessaire de réinitialiser le système en cas d'activation ou de désactivation du service. La commande auditconfig permet d'afficher les informations sur la stratégie d'audit et de la modifier. L'audit des objets publics génère moins de bruit dans la piste d'audit. En outre, l'audit d'événements non noyau n'a aucun impact sur les performances du système.

    Pour plus d'informations sur la création d'un système de fichiers ZFS pour les fichiers d'audit, reportez-vous à la section Création de systèmes de fichiers ZFS pour les fichiers d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 .

  • Serveur d'audit à distance (ARS) : ARS est une fonction qui reçoit et stocke les enregistrements d'audit d'un système audité et configuré avec un plug-in audit_remote actif. Pour différencier un système audité d'un ARS, le système audité peut être appelé le système audité localement. Cette fonctionnalité a été introduite dans Oracle Solaris 11.1. Reportez-vous aux informations relatives à l'option –setremote dans la page de manuel auditconfig(1M).

  • Evaluation de la conformité : la commande compliance (nouvelle dans Oracle Solaris 11.2) permet d'automatiser l'évaluation de la conformité, mais pas les mesures de correction. Cette commande permet de répertorier, de générer et de supprimer les évaluations et les rapports. Voir la section Guide de conformité à la sécurité d’Oracle Solaris 11.2 et la page de manuel compliance(1M).

  • Outil BART : l'algorithme de hachage par défaut utilisé par l'outil de rapport d'audit de base BART est SHA256, et non MD5. En outre, vous pouvez sélectionner l'algorithme de hachage. Reportez-vous au Chapitre 2, Vérification de l’intégrité des fichiers à l’aide de l’utilitaire BART du manuel Sécurisation des fichiers et vérification de l’intégrité des fichiers dans Oracle Solaris 11.2 .

  • Modifications apportées à la commande cryptoadm : dans le cadre de l'implémentation du répertoire /etc/system.d pour un empaquetage simplifié de la configuration du noyau Oracle Solaris, la commande cryptoadm a également été mise à jour pour et écrit désormais dans des fichiers de ce répertoire, et non plus dans le fichier /etc/system, comme dans les versions précédentes. Voir la page de manuel cryptoadm(1M).

  • Structure cryptographique : cette fonction inclut davantage d'algorithmes, de mécanismes, de plug-ins et de prises en charge de l'accélération matérielle Intel et SPARC T4. En outre, Oracle Solaris 11 présente un meilleur alignement à la cryptographie NSA Suite B. De nombreux algorithmes de la structure sont optimisés pour les plates-formes x86 avec le jeu d'instructions SSE2. Pour plus d'informations sur les optimisations de T-Series, reportez-vous à la section Structure cryptographique et serveurs de série SPARC T du manuel Gestion du chiffrement et des certificats dans Oracle Solaris 11.2 .

  • Modifications de la commande dtrace : dans le cadre de l'implémentation du répertoire /etc/system.d pour un empaquetage simplifié de la configuration du noyau Oracle Solaris, la commande dtrace a également été mise à jour et écrit désormais dans des fichiers de ce répertoire, et non plus dans le fichier /etc/system, comme dans les versions précédentes. Voir la page de manuel dtrace(1M).

  • Fournisseurs Kerberos DTrace : un nouveau fournisseur DTrace USDT a été ajouté afin de fournir des sondes pour les messages Kerberos (Protocol Data Unit, unité de données de protocole). Les sondes sont modélisées d'après les types de messages Kerberos décrits dans RFC 4120.

  • Principales améliorations en matière de gestion :

    • Prise en charge de keystore PKCS#11 pour les clés RSA dans le module de plate-forme de confiance TPM (Trusted Platform Module)

    • Accès PKCS#11 au gestionnaire de clés Oracle (Oracle Key Manager) pour la gestion centralisée des clés d'entreprise

  • Modifications apportées à la commande lofi : la commande lofi prend en charge le chiffrement des périphériques en mode bloc dans cette version. Voir lofi(7D).

  • Modifications de la commande profiles : dans Oracle Solaris 10, cette commande permet uniquement de répertorier les profils d'un utilisateur ou rôle particulier, ou encore les privilèges d'un utilisateur concernant certaines commandes. Dans Oracle Solaris 11, vous pouvez également créer et modifier des profils dans les fichiers et dans LDAP par le biais de la commande profiles. Reportez-vous à la page de manuel profiles(1).

  • Commande sudo : la commande sudo est une nouvelle commande d'Oracle Solaris 11. Elle génère des enregistrements d'audit Oracle Solaris lors de l'exécution de commandes. En outre, elle supprime le privilège de base proc_exec si l'entrée de commande sudoers est marquée NOEXEC.

  • Chiffrement des systèmes de fichiers ZFS : cette fonction permet de sécuriser vos données. Reportez-vous à la section Chiffrement des systèmes de fichiers ZFS.

  • Propriété rstchown : le paramètre réglable rstchown utilisé dans les versions précédentes et permettant de restreindre les opérations chown correspond maintenant à la propriété de système de fichier ZFS rstchown, qui est également une option de montage de systèmes de fichiers générale. Voir la section Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 et la page de manuel mount(1M).

    Si vous tentez de définir ce paramètre obsolète dans le fichier /etc/system, le message suivant s'affiche :

    sorry, variable 'rstchown' is not defined in the 'kernel'
Copyright © 2011, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant