In questa sezione sono evidenziate le informazioni per i clienti esistenti sulle importanti nuove funzioni di sicurezza della presente release.
È possibile valutare la conformità del sistema agli standard di sicurezza utilizzando il nuovo comando compliance. Tale comando consente di valutare e segnalare la conformità del sistema ai benchmark di sicurezza standard del settore, incluso PCI-DSS. Per informazioni dettagliate, vedere Guida alla verifica della conformità in tema di sicurezza di Oracle Solaris 11.2 e la pagina man compliance(1M).
La funzione relativa alla struttura di cifratura di Oracle Solaris è conforme allo standard FIPS 140-2, Livello 1 per le funzioni userland e kernel nelle release Oracle Solaris 11.1 SRU 5.5 e Oracle Solaris 11.1 SRU 3.
Per un elenco dei prodotti Oracle conformi allo standard FIPS 140, vedere Oracle FIPS 140 Software Validations.
Per informazioni su come abilitare Modalità FIPS 140 nel sistema, vedere Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
Oracle Solaris 11.1 ha ottenuto la certificazione Canadian Common Criteria Scheme. Vedere Certificazione Common Criteria EAL4+ di Oracle Solaris 11.
Il servizio di audit può utilizzare Oracle Audit Vault per memorizzare, visionare e analizzare i record di audit. Vedere Using Oracle Audit Vault and Database Firewall for Storage and Analysis of Audit Records in Managing Auditing in Oracle Solaris 11.2 .
Il boot verificato protegge il processo di boot dalle minacce sui server Oracle SPARC T5 Series e Oracle SPARC T7 Series. Per ulteriori informazioni, vedere Using Verified Boot in Securing Systems and Attached Devices in Oracle Solaris 11.2 .
È possibile proteggere le installazioni AI (Automatic Installation) con certificati e chiavi per il server di installazione, per sistemi client specificati, per tutti i client di un servizio di installazione specificato e per tutti gli altri client AI. Le installazioni AI sicure proteggono la trasmissione dei pacchetti Oracle Solaris ai sistemi degli utenti. Vedere Increasing Security for Automated Installations in Installing Oracle Solaris 11.2 Systems .
È disponibile un nuovo pacchetto di installazione di gruppo: pkg:/group/system/solaris-minimal-server. Per una descrizione e un confronto dei contenuti del pacchetto di gruppo, vedere Oracle Solaris 11.2 Package Group Lists .
È possibile installare client Kerberos utilizzando AI, per rendere il client un sistema con Kerberos al primo boot. Vedere How to Configure Kerberos Clients Using AI in Installing Oracle Solaris 11.2 Systems .
In questa release le zone globali fisiche, denominate zone globali immutabili, e le zone globali virtuali, denominate zone kernel Oracle Solaris, possono essere in sola lettura. Le zone globali immutabili sono leggermente più potenti delle zone kernel, ma nessuno dei due tipi è in grado di modificare in modo permanente l'hardware o la configurazione del sistema. Le zone in sola lettura possono essere avviate in modo più rapido e sono più sicure delle zone che consentono la scrittura.
Per quanto riguarda la manutenzione, le zone globali immutabili definiscono un set di processi speciale, denominato TCB (Trusted Computing Base) che è possibile configurare tramite un login protetto denominato percorso sicuro. Per ulteriori informazioni, vedere Capitolo 12, Configuring and Administering Immutable Zones in Creating and Using Oracle Solaris Zones . Per informazioni sulle risorse di configurazione delle zone, vedere Introduction to Oracle Solaris Zones . Vedere anche le pagine man mwac(5) e tpd(5).
Le zone kernel Oracle Solaris sono utili per la distribuzione di un sistema conforme. È possibile, ad esempio, configurare un sistema conforme e creare un archivio unificato, quindi distribuire l'immagine come zona kernel. Per ulteriori informazioni, consultare la pagina man solaris-kz(5) Creating and Using Oracle Solaris Kernel Zones , Oracle Solaris Zones Overview in Introduction to Oracle Solaris 11.2 Virtualization Environments e Using Unified Archives for System Recovery and Cloning in Oracle Solaris 11.2 .
Di seguito sono riportate alcune nuove funzioni dei diritti di utente e processo.
Controllo dell'accesso ai servizi PAM basato sull'orario e sulla posizione
Ruoli predefiniti ARMOR (Authorization Roles Managed on RBAC)
Profili dei diritti che forzano gli utenti a specificare una password prima di eseguire un'azione privilegiata
Profili dei diritti per osservabilità della rete e del sistema per eseguire i comandi di diagnostica ipstat, tcpstat, snoop e intrstat con privilegi e senza essere l'utente root.
Per informazioni dettagliate, vedere What’s New in Rights in Oracle Solaris 11.2 in Securing Users and Processes in Oracle Solaris 11.2 .
IKE Versione 2 (IKEv2) fornisce il protocollo IKE più aggiornato per la gestione automatica delle chiavi dei pacchetti di rete protetti tramite IPsec. Per informazioni dettagliate, vedere What’s New in Network Security in Oracle Solaris 11.2 in Securing the Network in Oracle Solaris 11.2 .
Oracle Hardware Management Pack (HMP) fornisce strumenti da riga di comando per la configurazione e l'aggiornamento del firmware. Per informazioni su come utilizzare HMP in sicurezza con altri prodotti hardware Oracle come i commutatori e le schede di interfaccia di rete, vedere Guida per la sicurezza di Oracle Hardware Management Pack per Oracle Solaris .