Tenere presenti le principali modifiche alla sicurezza riportate di seguito.
Address Space Layout Randomization (ASLR): a partire da Oracle Solaris 11.1, ASLR dispone in ordine casuale gli indirizzi utilizzati da un determinato file binario. La funzionalità ASLR causa il fallimento di determinati tipi di attacchi che si basano sulla conoscenza della posizione esatta di determinati intervalli di memoria e rileva il tentativo di arresto del file eseguibile. Utilizzare il comando sxadm per configurare ASLR. Utilizzare il comando elfedit per modificare il tag su un file binario. Vedere sxadm(1M) e elfedit(1).
Editor amministrativo: a partire da Oracle Solaris 11.1, è possibile utilizzare il comando pfedit per modificare i file di sistema. Se definito dall'amministratore di sistema, il valore di questo editor è $EDITOR. Se non è definito, l'editor utilizza automaticamente il comando vi. Avviare l'editor come indicato di seguito.
$ pfedit system-filename
In questa release l'auditing è attivato per impostazione predefinita. Per un sistema sicuro, utilizzare le interfaccia che vengono sempre sottoposte ad auditing quando l'auditing delle azioni amministrative è attivo. Poiché pfedit è sempre sottoposto ad audit, è il comando preferito per la modifica dei file di sistema. Vedere pfedit(1M) e Capitolo 3, Controlling Access to Systems in Securing Systems and Attached Devices in Oracle Solaris 11.2 .
Auditing: l'auditing è un servizio di Oracle Solaris 11 ed è abilitato per impostazione predefinita. Non è necessario eseguire il reboot del sistema quando si disabilita o si abilita questo servizio. Utilizzare il comando auditconfig per visualizzare informazioni sul criterio di audit e di modificare tale criterio. L'auditing degli oggetti pubblici genera meno interferenze nell'audit trail. L'auditing di eventi non kernel, inoltre, non alcun impatto sulle prestazioni.
Per informazioni sulla creazione di un file system ZFS dei file di audit, vedere How to Create ZFS File Systems for Audit Files in Managing Auditing in Oracle Solaris 11.2 .
Audit Remote Server (ARS): ARS è una funzione per la ricezione e archiviazione dei record di audit da un sistema sottoposto ad audit e configurato con un plugin audit_remote attivo. Per distinguere un sistema sottoposto ad audit da un ARS, è possibile definire il sistema sottoposto ad audit come sistema sottoposto ad audit in locale. Questa funzione è nuova in Oracle Solaris 11.1. Consultare le informazioni sull'opzione –setremote in auditconfig(1M).
Valutazione della conformità: utilizzare il nuovo comando compliance di Oracle Solaris 11.2 per attivare la valutazione automatica della conformità, non la risoluzione dei problemi. È possibile utilizzare il comando per elencare, generare ed eliminare le valutazioni e i report. Vedere Guida alla verifica della conformità in tema di sicurezza di Oracle Solaris 11.2 e compliance(1M).
Basic Audit Reporting Tool (BART): l'hash utilizzato da BART è SHA256, anziché MD5. Oltre all'hash predefinito SHA256, è anche possibile selezionare l'algoritmo hash. Vedere Capitolo 2, Verifying File Integrity by Using BART in Securing Files and Verifying File Integrity in Oracle Solaris 11.2 .
Modifiche al comando cryptoadm: come parte dell'implementazione della directory /etc/system.d per creare più facilmente pacchetti per la configurazione del kernel Oracle Solaris, è stato aggiornato anche il comando cryptoadm in modo da eseguire la scrittura nei file in questa directory invece che nel file /etc/system, come accadeva nelle release precedenti. Vedere cryptoadm(1M).
Struttura di cifratura: questa funzione include più algoritmi, meccanismi, plugin e supporto per l'accelerazione dell'hardware Intel e SPARC T4. Oracle Solaris 11 fornisce inoltre un migliore allineamento con la cifratura NSA Suite B. Molti algoritmi della struttura sono ottimizzati per le piattaforme x86 con il set di istruzioni SSE2. Per ulteriori informazioni sulle ottimizzazioni T-Series, vedere Cryptographic Framework and SPARC T-Series Servers in Managing Encryption and Certificates in Oracle Solaris 11.2 .
Modifiche al comando dtrace: come parte dell'implementazione della directory /etc/system.d per creare più facilmente pacchetti per la configurazione del kernel Oracle Solaris, è stato aggiornato anche il comando dtrace in modo da eseguire la scrittura nei file in questa directory invece che nel file /etc/system, come accadeva nelle release precedenti. Vedere dtrace(1M).
Provider Kerberos DTrace: è stato aggiunto un nuovo provider DTrace USDT che fornisce probe per i messaggi Kerberos (Protocol Data Unit). I probe sono modellati sui tipi di messaggio Kerberos descritti in RFC 4120.
Miglioramenti alla gestione delle chiavi:
Supporto per keystore PKCS#11 per le chiavi RSA in Trusted Platform Module
Accesso PKCS#11 a Oracle Key Manager per la gestione delle chiavi aziendale centralizzata
Modifiche al comando lofi : in questa release, il comando lofi supporta la cifratura dei dispositivi di blocco. Vedere lofi(7D).
Modifiche al comando profiles: in Oracle Solaris 10 questo comando viene utilizzato solo per visualizzare i profili per un utente o un ruolo specifico oppure per i privilegi di un utente per comandi specifici. A partire da Oracle Solaris 11, è possibile creare e modificare i profili nei file e in LDAP utilizzando il comando profiles. Vedere profiles(1).
Comando sudo: il comando sudo è nuovo in Oracle Solaris 11. Questo comando genera i record di audit di Oracle quando si eseguono i comandi. Questo comando elimina anche il privilegio di base proc_exec, se l'opzione del comando sudoers è contrassegnato come NOEXEC.
Cifratura del file system ZFS: la cifratura del file system ZFS è progettata per garantire la protezione dei dati. Vedere Cifratura dei file system ZFS.
Proprietà rstchown: il parametro configurabile rstchown utilizzato nelle release precedenti per limitare le operazioni chown è una proprietà del file system ZFS, rstchown, ed è anche un'opzione di attivazione del file system generale. Vedere Managing ZFS File Systems in Oracle Solaris 11.2 e mount(1M).
Se si tenta di impostare questo parametro obsoleto nel file /etc/system, viene visualizzato il messaggio riportato di seguito.
sorry, variable 'rstchown' is not defined in the 'kernel'