In diesem Abschnitt werden für bestehende Kunden Informationen zu wichtigen neuen Sicherheitsfunktionen in diesem Release erläutert.
Sie können die Compliance Ihres System mit Sicherheitsstandards mithilfe des neuen Befehls compliance bewerten. Damit können Sie einschätzen und melden, inwieweit Ihr System mit den Sicherheitsstandards der Branche, einschließlich PCI-DSS, konform ist. Einzelheiten finden Sie im Oracle Solaris 11.2 Handbuch zur Sicherheitscompliance sowie auf der Manpage compliance(1M).
Die Cryptographic Framework-Funktion von Oracle Solaris wird in FIPS 140-2, Level 1 für Userland- und Kernel-Funktionen in den Oracle Solaris 11.1 SRU 5.5- und Oracle Solaris 11.1 SRU 3-Releases validiert.
Eine Liste der Oracle FIPS 140-validierten Produkte finden Sie in Oracle FIPS 140 Software Validations.
Informationen zur Aktivierung von FIPS 140-Modus auf Ihrem System finden Sie in Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
Oracle Solaris 11.1 ist für das kanadische Common Criteria Scheme zertifiziert. Siehe Oracle Solaris 11 Common Criteria EAL4+-Zertifizierung
Mit dem Prüfservice können über Oracle Audit Vault Prüfdatensätze gespeichert, überprüft und analysiert werden. Siehe Using Oracle Audit Vault and Database Firewall for Storage and Analysis of Audit Records in Managing Auditing in Oracle Solaris 11.2 .
Durch die Funktion "Verified Boot" (geprüfter Startvorgang) wird der Startvorgang auf Oracle SPARC T5-Servern und Oracle SPARC T7-Servern vor Bedrohungen geschützt. Weitere Informationen finden Sie unter Using Verified Boot in Securing Systems and Attached Devices in Oracle Solaris 11.2 .
Sie können AI-Installationen (Automatic Installation) auf dem Installationsserver, auf bestimmten Clientsystemen, auf allen Clients eines bestimmten Installationsservice und auf sonstigen AI-Clients über Zertifikate und Schlüssel sichern. Bei einer sicheren AI-Installation wird die Übertragung von Oracle Solaris-Packages auf Ihre Systeme geschützt. Siehe Increasing Security for Automated Installations in Installing Oracle Solaris 11.2 Systems .
Ein neues Gruppeninstallationspackage ist verfügbar, pkg:/group/system/solaris-minimal-server. In Oracle Solaris 11.2 Package Group Lists wird der Inhalt des Gruppenpackages beschrieben und verglichen.
Sie können Kerberos-Clients über eine AI-Installation installieren, sodass das System beim ersten Hochfahren ein kerberisiertes System ist. Siehe How to Configure Kerberos Clients Using AI in Installing Oracle Solaris 11.2 Systems .
In diesem Release können physische globale Zonen, auch als unveränderbare globale Zonen (Immutable Global Zones) bezeichnet, sowie virtuelle globale Zonen, auch als Oracle Solaris Kernel-Zonen bezeichnet, schreibgeschützt sein. Unveränderbare globale Zonen bieten eine leicht bessere Sicherheit als Kernel-Zonen, keine von beiden können jedoch die Hardware oder die Konfiguration des Systems dauerhaft ändern. Schreibgeschützte Zonen können schneller hochgefahren werden und bieten mehr Sicherheit als Zonen ohne Schreibschutz.
Über unveränderbare globale Zonen wird zu Verwaltungszwecken ein spezieller Satz an Prozessen, auch Trusted Computing Base (TCB) genannt, definiert, der über eine als Trusted Path bezeichnete geschützte Anmeldung konfiguriert werden kann. Weitere Informationen erhalten Sie in Kapitel 12, Configuring and Administering Immutable Zones in Creating and Using Oracle Solaris Zones . Informationen zu Ressourcen zur Zonenkonfiguration finden Sie in Introduction to Oracle Solaris Zones . Siehe auch die Manpages mwac(5) und tpd(5).
Oracle Solaris Kernel-Zonen sind nützlich beim Deployment eines konformen Systems. Beispiel: Sie können ein konformes System konfigurieren, ein einheitliches Archiv (Unified Archive) erstellen und das Image dann als Kernel-Zone bereitstellen. Weitere Informationen finden Sie auf der Manpage solaris-kz(5), unter Creating and Using Oracle Solaris Kernel Zones in Abschnitt Oracle Solaris Zones Overview in Introduction to Oracle Solaris 11.2 Virtualization Environments und Using Unified Archives for System Recovery and Cloning in Oracle Solaris 11.2 .
Die neuen Funktionen zu Benutzer- und Vorgangsrechten umfassen Folgendes:
Zeitbasierte und ortsbasierte Zugriffskontrolle auf PAM-Services
Vordefinierte ARMOR-Rollen (Authorization Roles Managed on RBAC)
Rechteprofile, die Benutzer vor der Ausführung einer privilegierten Aktion zur Eingabe eines Passworts zwingen
Rechteprofile zur Beobachtung von Netzwerk und System zur Ausführung der Diagnosebefehle ipstat, tcpstat, snoop und intrstat mit Berechtigung und ohne root zu sein
Nähere Einzelheiten finden Sie unter What’s New in Rights in Oracle Solaris 11.2 in Securing Users and Processes in Oracle Solaris 11.2 .
IKE Version 2 (IKEv2) stellt das aktuelle IKE-Protokoll zur automatischen Schlüsselverwaltung von durch IPsec geschützten Netzwerkpaketen bereit. Nähere Einzelheiten finden Sie unter What’s New in Network Security in Oracle Solaris 11.2 in Securing the Network in Oracle Solaris 11.2 .
Das Oracle Hardware Management Pack (HMP) stellt Befehlszeilentools für die Konfiguration und das Update von Firmware bereit. Informationen zur sicheren Verwendung von HMP mit anderen Oracle-Hardwareprodukten wie Netzwerk-Switches und NICs finden Sie in Oracle Hardware Management Pack for Oracle Solaris - Sicherheitshandbuch .