次の重要なセキュリティーの変更点があります。
アドレス空間レイアウトのランダム化 (ASLR) – Oracle Solaris 11.1 以降、ASLR は、ある特定のバイナリで使用されるアドレスをランダム化します。ASLR は、ある一定のメモリー範囲の正確な場所の把握に基づいた特定の種類の攻撃を失敗させ、その企てによって実行可能ファイルが停止する可能性が高い場合に検出します。ASLR を構成するには、sxadm コマンドを使用します。バイナリ上のタグを変更するには、elfedit コマンドを使用します。sxadm(1M) および elfedit(1)を参照してください。
管理エディタ – Oracle Solaris 11.1 以降、pfedit コマンドを使用してシステムファイルを編集できます。システム管理者によって定義された場合、このエディタの値は $EDITOR です。定義されていない場合、エディタのデフォルトは vi コマンドに設定されます。次のようにエディタを起動します。
$ pfedit system-filename
このリリースでは、監査がデフォルトでオンになっています。セキュアなシステムの場合、管理アクションの監査がオンになっているときは常に監査されるインタフェースを使用します。pfedit の使用は常に監査されるため、システムファイル編集用のコマンドとして推奨されます。pfedit(1M) およびOracle Solaris 11.2 でのシステムおよび接続されたデバイスのセキュリティー保護 の第 3 章システムアクセスの制御を参照してください。
監査 – 監査は Oracle Solaris 11 のサービスであり、デフォルトで有効になっています。このサービスを無効または有効にするときにリブートは必要ありません。auditconfig コマンドを使用して監査ポリシーに関する情報を表示し、監査ポリシーを変更します。公開オブジェクトの監査によって、監査トレール内に生成されるノイズが減少します。また、カーネル以外のイベントの監査は、パフォーマンスにまったく影響しません。
監査ファイル用の ZFS ファイルシステムの作成については、Oracle Solaris 11.2 での監査の管理 の監査ファイルのための ZFS ファイルシステムを作成する方法を参照してください。
監査リモートサーバー (ARS) – ARS は、監査中かつアクティブな audit_remote プラグインで構成されているシステムから監査レコードを受信して格納する機能です。監査対象のシステムは、ARS と区別するため、ローカルで監査されるシステムと呼ばれることがあります。これは Oracle Solaris 11.1 の新機能です。–setremote オプションに関する情報については、auditconfig(1M) を参照してください。
コンプライアンス評価 – 修正ではなくコンプライアンス評価を自動化するには、compliance コマンド (Oracle Solaris 11.2 の新機能) を使用します。このコマンドを使用して、評価とレポートを一覧表示、生成、および削除できます。Oracle Solaris 11 セキュリティーコンプライアンスガイド および compliance(1M) を参照してください。
基本監査報告機能 (BART) – BART によって使用されるデフォルトのハッシュは MD5 ではなく SHA256 です。SHA256 がデフォルトになっているのに加え、ハッシュアルゴリズムを選択することもできます。Oracle Solaris 11.2 でのファイルのセキュリティー保護とファイル整合性の検証 の第 2 章BART を使用したファイル整合性の検証を参照してください。
cryptoadm コマンドの変更点 – Oracle Solaris カーネル構成をより簡単にパッケージングするための /etc/system.d ディレクトリ実装の一部として、以前のリリースでの /etc/system ファイルではなく、このディレクトリ内のファイルに書き込むように cryptoadm コマンドも更新されました。cryptoadm(1M) を参照してください。
暗号化フレームワーク – この機能には、Intel および SPARC T4 ハードウェアアクセラレーション用のアルゴリズム、メカニズム、プラグイン、およびサポートがさらに追加されました。また、Oracle Solaris 11 は NSA Suite B 暗号方式ともより密接に連携しています。フレームワークのアルゴリズムの多くは、SSE2 命令セットを備えた x86 プラットフォーム用に最適化されます。T シリーズの最適化に関する詳細は、Oracle Solaris 11.2 での暗号化と証明書の管理 の暗号化フレームワークと SPARC T シリーズサーバーを参照してください。
dtrace コマンドの変更点 – Oracle Solaris カーネル構成をより簡単にパッケージングするための /etc/system.d ディレクトリの実装の一部として、以前のリリースでの /etc/system ファイルではなく、このディレクトリ内のファイルに書き込むように dtrace コマンドも更新されました。dtrace(1M) を参照してください。
Kerberos DTrace プロバイダ – Kerberos メッセージ (Protocol Data Unit) 用のプローブを提供する新しい DTrace USDT プロバイダが追加されました。それらのプローブは、RFC 4120 に記述されている Kerberos メッセージタイプのあとにモデル化されます。
鍵管理の機能拡張:
Trusted Platform Module の RSA 鍵に対する PKCS#11 キーストアのサポート
集中型エンタープライズ鍵管理用の Oracle Key Manager への PKCS#11 アクセス
lofi コマンドの変更点 – lofi コマンドは、このリリースではブロック型デバイスの暗号化をサポートします。lofi(7D) を参照してください。
profiles コマンドの変更点 – Oracle Solaris 10 では、このコマンドは特定ユーザーまたは役割に関するプロファイル、または特定コマンドに対するユーザーの特権を一覧表示するために使用されるだけです。Oracle Solaris 11 以降、profiles コマンドを使用して、ファイルおよび LDAP のプロファイルを作成および変更できます (profiles(1) を参照)。
sudo コマンド – Oracle Solaris 11 では sudo コマンドが新しく追加されました。このコマンドは、コマンドの実行時に Oracle Solaris 監査レコードを生成します。また、このコマンドは、sudoers コマンドのエントリに NOEXEC のタグが付けられている場合に proc_exec 基本特権を削除します。
ZFS ファイルシステムの暗号化 – ZFS ファイルシステムの暗号化は、データをセキュリティー保護しておくために作られたものです。ZFS ファイルシステムの暗号化を参照してください。
rstchown プロパティー – 以前のリリースで chown 操作を制限するために使用されるチューニング可能パラメータ rstchown は、ZFS ファイルシステムのプロパティー rstchown であり、一般的なファイルシステムのマウントオプションでもあります。Oracle Solaris 11.2 での ZFS ファイルシステムの管理 および mount(1M) を参照してください。
この廃止されたパラメータを /etc/system ファイルに設定しようとすると、次のメッセージが表示されます:
sorry, variable 'rstchown' is not defined in the 'kernel'