Transición de Oracle® Solaris 10 a Oracle Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Diciembre de 2014
 
 

Cambios en las funciones de seguridad

    Tenga en cuenta los siguientes cambios de seguridad clave:

  • Ejecución aleatoria de la disposición del espacio de direcciones (ASLR): a partir de Oracle Solaris 11.1, ASLR ejecuta de forma aleatoria las direcciones que son utilizadas por un determinado binario. ASLR hace que fallen determinados tipos de ataques que están basados en el conocimiento de la ubicación exacta de ciertos intervalos de memoria y detecta el intento cuando es probable que detenga el ejecutable. Utilice el comando sxadm para configurar ASLR. Utilice el comando elfedit para cambiar las etiquetas en un binario. Consulte sxadm(1M) y elfedit(1).

  • Editor administrativo: a partir de Oracle Solaris 11.1, puede utilizar el comando pfedit para editar archivos del sistema. Si lo define el administrador del sistema, el valor de este editor es $EDITOR. Si el editor no está definido, el comando vi se utiliza de manera predeterminada. Inicie el editor de la siguiente manera:

    $ pfedit system-filename

    En esta versión, la auditoría está activada de manera predeterminada. Para un sistema seguro, utilice las interfaces que siempre se auditan cuando la auditoría de las acciones administrativas está activada. Debido a que el uso de pfedit siempre se audita, es el comando preferido para la edición de archivos del sistema. Consulte pfedit(1M) y el Capítulo 3, Control de acceso a sistemas de Protección de sistemas y dispositivos conectados en Oracle Solaris 11.2 .

  • Auditoría: la auditoría es un servicio en Oracle Solaris 11 y se encuentra activada de manera predeterminada. No es necesario reiniciar al activar o desactivar este servicio. Utilice el comando auditconfig para ver información sobre la política de auditoría y para cambiar la política de auditoría. La auditoría de objetos públicos genera menos ruido en la pista de auditoría. Además, la auditoría de eventos que no son del núcleo no tiene impactos de rendimiento.

    Para obtener información sobre la creación de un sistema de archivos ZFS para archivos de auditoría, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría de Gestión de auditoría en Oracle Solaris 11.2 .

  • Servidor de auditoría remoto (ARS): función que recibe y almacena los registros de auditoría de un sistema que se está auditando, y está configurada con un complemento audit_remote activo. Para distinguir un sistema auditado de un ARS, el sistema auditado se debe calificar como el sistema auditado localmente. Esta función es nueva en Oracle Solaris 11.1. Consulte la información sobre la opción –setremote en auditconfig(1M).

  • Evaluación de cumplimiento: utilice el comando compliance (nuevo en Oracle Solaris 11.2) para automatizar una evaluación de cumplimiento, no la correlación de errores. Puede utilizar el comando para enumerar, generar y suprimir evaluaciones e informes. Consulte Guía de cumplimiento de la seguridad de Oracle Solaris 11.2 and compliance(1M).

  • Herramienta básica de creación de informes de auditoría (BART, Basic Audit Reporting Tool): el hash predeterminado que utiliza la BART es SHA256, no MD5. Además, para que SHA256 sea el hash predeterminado, también puede seleccionar el algoritmo de hash. Consulte el Capítulo 2, Verificación de la integridad de archivos mediante el uso de BART de Protección y verificación de la integridad de archivos en Oracle Solaris 11.2 .

  • Cambios del comando cryptoadm: como parte de la implementación del directorio /etc/system.d para un empaquetado más fácil de la configuración de núcleo de Oracle Solaris, el comando cryptoadm se ha actualizado para escribir archivos dentro de este directorio en lugar del archivo /etc/system como en versiones anteriores. Consulte cryptoadm(1M).

  • Estructura criptográfica: esta función incluye más algoritmos, mecanismos, complementos y compatibilidades para la aceleración por hardware de SPARC T4 e Intel. Además, Oracle Solaris 11 proporciona una mejor alineación con la criptografía de NSA Suite B. Muchos de los algoritmos de la estructura están optimizados para plataformas x86 con el conjunto de instrucciones SSE2. Para obtener más información sobre optimizaciones de T-Series, consulte Estructura criptográfica y servidores SPARC T-Series de Gestión de cifrado y certificados en Oracle Solaris 11.2 .

  • Cambios del comando dtrace: como parte de la implementación del directorio /etc/system.d para un empaquetado más fácil de la configuración de núcleo de Oracle Solaris, el comando cryptoadm se ha actualizado para escribir archivos dentro de este directorio en lugar del archivo /etc/system como en versiones anteriores. Consulte dtrace(1M).

  • Proveedores de Kerberos DTrace: se agregó un nuevo proveedor de DTrace USDT que proporciona los sondeos para los mensajes de Kerberos (unidades de datos de protocolo). Los sondeos se modelan según los tipos de mensaje de Kerberos que se describen en RFC 4120.

  • Mejoras en la gestión de claves:

    • Compatibilidad del almacén de claves PKCS#11 para las claves RSA en el módulo de la plataforma confianza

    • Acceso de PKCS#11 a Oracle Key Manager para efectuar una gestión de claves empresariales centralizada

  • Cambios en el comando lofi: el comando lofi admite el cifrado de dispositivos de bloque en esta versión. Consulte lofi(7D).

  • Cambios en el comando profiles: en Oracle Solaris 10, este comando se utiliza sólo para enumerar perfiles para un usuario o rol específicos, o privilegios de un usuario para comandos específicos. A partir de Oracle Solaris 11, puede crear y modificar también perfiles en archivos y en LDAP mediante el comando profiles. Consulte profiles(1).

  • Comando sudo: el comando sudo es nuevo en Oracle Solaris 11. Este comando genera los registros de auditoría de Oracle Solaris durante la ejecución de comandos. El comando también elimina el privilegio básico proc_exec si la entrada de comando sudoers está etiquetada como NOEXEC.

  • Cifrado del sistema de archivos ZFS: el cifrado del sistema de archivos ZFS está diseñado para mantener seguros los datos. Consulte Cifrado de sistemas de archivos ZFS.

  • Propiedad rstchown: el parámetro ajustable rstchown que se utilizaba en las versiones anteriores para restringir operaciones chown es una propiedad del sistema de archivos ZFS, rstchown, y también es una opción de montaje del sistema de archivos general. Consulte Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 y mount(1M).

    Si intenta configurar este parámetro obsoleto en el archivo /etc/system, aparecerá el siguiente mensaje:

    sorry, variable 'rstchown' is not defined in the 'kernel'
Copyright © 2011, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente