Beachten Sie die folgenden wichtigsten Sicherheitsänderungen:
Address Space Layout Randomization (ASLR) (Zufällige Anordnung des Adressraumlayouts) – Ab Oracle Solaris 11.1 ordnet ASLR Adressen, die von einem bestimmten Binärprogramm verwendet werden, zufällig an. ASLR kann bestimmte Angriffsarten, die auf der exakten Speicherortkenntnis bestimmter Speicherbereiche basieren, verhindern und bereits den Versuch erkennen, wenn das ausführbare Programm gestoppt wird. Verwenden Sie den Befehl sxadm zur Konfiguration von ASLR. Mit dem Befehl elfedit können Sie das Tagging in einer Binärdatei ändern. Siehe sxadm(1M) und elfedit(1).
Administrativer Editor – Ab Oracle Solaris 11.1 können Sie Systemdateien mit dem Befehl pfedit bearbeiten. Wenn vom Systemadministrator definiert, ist der Wert dieses Editors $EDITOR. Wenn undefiniert entspricht der Editor standardmäßig dem vi-Befehl. Starten Sie den Editor wie folgt:
$ pfedit system-filename
In diesem Release ist das Auditing standardmäßig aktiviert. Für ein sicheres System verwenden Sie die Schnittstellen, die immer auditiert werden, wenn das Auditing von administrativen Aktionen eingeschaltet ist. Weil die Verwendung von pfedit immer auditiert wird, ist dies der bevorzugte Befehl zur Bearbeitung von Systemdateien. Siehe pfedit(1M) und Kapitel 3, Controlling Access to Systems in Securing Systems and Attached Devices in Oracle Solaris 11.2 .
Auditing – Auditing ist ein Service in Oracle Solaris 11, der standardmäßig aktiviert ist. Es ist kein Neustart erforderlich, wenn Sie diesen Service aktivieren oder deaktivieren. Sie verwenden den Befehl auditconfig, um Informationen zu Auditrichtlinien anzuzeigen und Auditrichtlinien zu ändern. Die Prüfung von öffentlichen Objekten führt zu weniger Aufwand im Audittrail. Außerdem hat das Auditing von Nicht-Kernel-Ereignissen keine Auswirkungen auf die Performance.
Informationen zum Erstellen eines ZFS-Dateisystems für Auditdateien finden Sie unter How to Create ZFS File Systems for Audit Files in Managing Auditing in Oracle Solaris 11.2 .
Audit Remote Server (ARS) (Remote-Server auditieren) – ARS ist eine Funktion, die Auditdatensätze von einem System empfängt und speichert, das auditiert wird. Sie wird mit einem aktiven audit_remote konfiguriert. Um ein auditiertes System von einem ARS zu unterschieden, kann das auditierte System als lokal auditiertes System bezeichnet werden. Diese Funktion ist neu in Oracle Solaris 11.1. Hierzu wird auf die Informationen zu der Option –setremote in auditconfig(1M) verwiesen.
Compliancebewertung –Verwenden Sie den Befehl compliance (neu in Oracle Solaris 11.2), um die Compliancebewertung zu automatisieren. Mit dem Befehl können Sie Bewertungen und Berichte auflisten, generieren und löschen. Siehe Oracle Solaris 11.2 Handbuch zur Sicherheitscompliance und compliance(1M).
Basic Audit Reporting Tool (BART) – Der Standard-Hash, der von BART verwendet wird, ist SHA256 und nicht MD5. Zusätzlich zu SHA256 als Standardwert können Sie auch den Hash-Algorithmus wählen. Siehe Kapitel 2, Verifying File Integrity by Using BART in Securing Files and Verifying File Integrity in Oracle Solaris 11.2 .
cryptoadm-Befehlsänderungen – Im Rahmen der Implementierung des /etc/system.d-Verzeichnisses zum einfacheren Packaging der Oracle Solaris Kernel-Konfiguration wurde der Befehl cryptoadm ebenfalls so aktualisiert, dass Dateien in dieses Verzeichnis und nicht in die Datei /etc/system geschrieben werden, wie in früheren Releases. Siehe cryptoadm(1M).
Kryptografisches Framework – Diese Funktion umfasst weitere Algorithmen, Verfahren, Plug-ins und Unterstützung von Intel- und SPARC T4-Hardwarebeschleunigung. Außerdem ist Oracle Solaris 11 näher an der NSA Suite B-Kryptografie ausgerichtet. Viele der Algorithmen in dem Framework sind mit dem SSE2-Befehlssatz für x86-Plattformen optimiert. Weitere Informationen zu den T-Series-Optimierungen finden Sie unter Cryptographic Framework and SPARC T-Series Servers in Managing Encryption and Certificates in Oracle Solaris 11.2 .
dtrace-Befehlsänderungen – Im Rahmen der Implementierung des /etc/system.d-Verzeichnisses zum einfacheren Packaging der Oracle Solaris Kernel-Konfiguration wurde der Befehl dtrace ebenfalls so aktualisiert, dass Dateien in dieses Verzeichnis und nicht in die Datei /etc/system geschrieben werden, wie in früheren Releases. Siehe dtrace(1M).
Kerberos DTrace-Provider – Ein neuer DTrace-USDT-Provider, der Probes für Kerberos-Nachrichten (Protocol Data Unit) bereitstellt, wurde hinzugefügt. Die Probes werden nach den Kerberos-Nachrichtentypen modelliert, die in RFC 4120 beschrieben werden.
Verbesserungen der Schlüsselverwaltung:
PKCS#11 Keystore-Unterstützung für RSA-Schlüssel im Trusted Platform Module
PKCS#11-Zugriff auf Oracle Key Manager zur zentralisierten Schlüsselverwaltung in Unternehmen
lofi-Befehlsänderungen – Der Befehl lofi unterstützt die Verschlüsselung von Blockgeräten in diesem Release. Siehe lofi(7D).
profiles-Befehlsänderungen – In Oracle Solaris 10 wird dieser Befehl nur zur Auflistung von Profilen für einen bestimmten Benutzer oder eine bestimmte Rolle oder zur Auflistung von Benutzerberechtigungen für spezifische Befehle verwendet. Ab Oracle Solaris 11 können Sie Profile in Dateien und in LDAP mit dem Befehl profiles erstellen und ändern. Siehe profiles(1).
sudo-Befehl – Der sudo-Befehl ist neu in Oracle Solaris 11. Dieser Befehl generiert Oracle Solaris-Auditdatensätze bei der Ausführung von Befehlen. Außerdem löscht der Befehl proc_exec Basisberechtigungen, wenn der sudoers-Befehlseintrag als NOEXEC markiert ist.
ZFS-Dateisystemverschlüsselung – Mit der ZFS-Dateisystemverschlüsselung sollen Ihre Daten gesichert werden. Siehe Verschlüsseln von ZFS-Dateisystemen.
rstchown-Eigenschaft – Der optimierbare Parameter rstchown, der in früheren Releases zur Einschränkung von chown-Vorgängen verwendet wurde, ist eine ZFS-Dateieigenschaft, rstchown, und außerdem eine allgemeine Mount-Option für das Dateisystem. Siehe Managing ZFS File Systems in Oracle Solaris 11.2 and mount(1M).
Wenn sie versuchen, diesen veralteten Parameter in der Datei /etc/system festzulegen, wird folgende Meldung angezeigt:
sorry, variable 'rstchown' is not defined in the 'kernel'