중요 보안 변경 사항은 다음과 같습니다.
ASLR(주소 공간 레이아웃 임의 지정) – Oracle Solaris 11.1부터 ASLR이 특정 이진에 사용되는 주소를 임의로 지정합니다. ASLR은 특정 메모리 범위의 정확한 위치에 대한 식별을 기반으로 하는 특정 유형의 공격을 방지하고 실행 파일을 중지하려고 할 때의 시도를 감지할 수 있습니다. sxadm 명령을 사용하여 ASLR을 구성합니다. elfedit 명령을 사용하여 이진에서 태깅을 변경합니다. sxadm(1M) 및 elfedit(1)를 참조하십시오.
관리 편집기 – Oracle Solaris 11.1부터 pfedit 명령을 사용하여 시스템 파일을 편집할 수 있습니다. 시스템 관리자에 의해 정의된 경우 이 편집기의 값은 $EDITOR입니다. 정의되지 않은 경우 편집기는 기본적으로 vi 명령으로 설정됩니다. 다음과 같이 편집기를 시작합니다.
$ pfedit system-filename
이 릴리스에서 감사는 기본적으로 설정됩니다. 보안 시스템을 구현하려면 관리 작업에 대한 감사가 설정된 경우 항상 감사되는 인터페이스를 사용하십시오. pfedit 사용은 항상 감사되므로 시스템 파일을 편집할 때는 이 명령을 사용하는 것이 좋습니다. pfedit(1M) 및 Oracle Solaris 11.2에서 시스템 및 연결된 장치의 보안 의 3 장, 시스템에 대한 액세스 제어를 참조하십시오.
감사 – 감사는 Oracle Solaris 11의 서비스이며 기본적으로 사용으로 설정됩니다. 이 서비스를 사용 또는 사용 안함으로 설정할 때 재부트할 필요가 없습니다. auditconfig 명령을 사용하여 감사 정책에 대한 정보를 확인하고 감사 정책을 변경할 수 있습니다. 공용 객체의 감사로 감사 추적에서 잡음이 덜 생성됩니다. 또한 비커널 이벤트 감사는 성능에 영향을 미치지 않습니다.
감사 파일을 위해 ZFS 파일 시스템을 만드는 방법은 Oracle Solaris 11.2의 감사 관리 의 감사 파일에 대한 ZFS 파일 시스템을 만드는 방법을 참조하십시오.
ARS(감사 원격 서버) – ARS는 감사 중이고 활성 audit_remote 플러그인으로 구성된 시스템에서 감사 레코드를 수신하고 저장하는 기능입니다. 감사되는 시스템을 ARS와 구분하기 위해 감사 시스템을 로컬로 감사되는 시스템이라고 부를 수 있습니다. 이 기능은 Oracle Solaris 11.1에 새로 도입되었습니다. auditconfig(1M)에서 –setremote 옵션에 대한 정보를 참조하십시오.
준수 평가 – compliance 명령(Oracle Solaris 11.2에 새로 도입)을 사용하여 수정이 아니라 준수 평가를 자동화할 수 있습니다. 명령을 사용하여 평가 및 보고서를 나열, 생성, 삭제할 수 있습니다. Oracle Solaris 11.2 보안 적합성 안내서 및 compliance(1M)를 참조하십시오.
BART(기본 감사 보고 도구) – BART에서 사용하는 기본 해시는 MD5가 아니라 SHA256입니다. SHA256이 기본값으로 사용되는 것 이외에도, 해시 알고리즘을 선택할 수도 있습니다. Oracle Solaris 11.2의 파일 보안 및 파일 무결성 확인 의 2 장, BART를 사용하여 파일 무결성 확인을 참조하십시오.
cryptoadm 명령 변경 사항 – 간편한 Oracle Solaris 커널 구성 패키지를 위해 /etc/system.d 디렉토리 구현의 일부로, cryptoadm 명령이 이전 릴리스처럼 /etc/system 파일이 아니라 이 디렉토리 내의 파일에 쓰도록 업데이트되었습니다. cryptoadm(1M)을 참조하십시오.
암호화 프레임워크 – 이 기능에는 Intel 및 SPARC T4 하드웨어 가속을 위해 더 많은 알고리즘, 방식, 플러그인 및 지원이 포함됩니다. 또한 Oracle Solaris 11에서는 NSA Suite B 암호화와 더 잘 호환됩니다. 프레임워크의 알고리즘 대부분은 SSE2 명령 세트를 사용하는 x86 플랫폼에 맞게 최적화되어 있습니다. T-Series 최적화에 대한 자세한 내용은 Oracle Solaris 11.2의 암호화 및 인증서 관리 의 암호화 프레임워크 및 SPARC T-Series 서버를 참조하십시오.
dtrace 명령 변경 사항 – 간편한 Oracle Solaris 커널 구성 패키지를 위해 /etc/system.d 디렉토리 구현의 일부로, dtrace 명령이 이전 릴리스처럼 /etc/system 파일이 아니라 이 디렉토리 내의 파일에 쓰도록 업데이트되었습니다. dtrace(1M)를 참조하십시오.
Kerberos DTrace 공급자 – Kerberos 메시지(프로토콜 데이터 단위)에 대한 검사를 제공하는 새로운 DTrace USDT 공급자가 추가되었습니다. 프로브는 RFC 4120에 설명된 Kerberos 메시지 유형 뒤에 모델링됩니다.
키 관리 향상된 기능:
Trusted Platform Module에서 RSA 키에 대한 PKCS#11 키 저장소 지원
중앙화된 엔터프라이즈 키 관리를 위한 Oracle Key Manager에 대한 PKCS#11 액세스
lofi 명령 변경 사항 – 이 릴리스에서 lofi 명령은 블록 장치의 암호화를 지원합니다. lofi(7D)를 참조하십시오.
profiles 명령 변경 사항 – Oracle Solaris 10에서 이 명령은 특정 사용자나 역할에 대한 프로파일 또는 특정 명령에 대한 사용자의 권한을 나열하는 데만 사용됩니다. Oracle Solaris 11부터는 profiles 명령을 사용하여 파일 및 LDAP에서 프로파일을 만들고 수정할 수 있습니다. profiles(1)를 참조하십시오.
sudo 명령 – sudo 명령은 Oracle Solaris 11의 새로운 명령으로, 실행 시 Oracle Solaris 감사 레코드를 생성합니다. 또한 sudoers 명령 항목에 NOEXEC라는 태그가 지정된 경우 proc_exec 기본 권한을 삭제합니다.
ZFS 파일 시스템 암호화 – ZFS 파일 시스템 암호화는 데이터 보안이 유지되도록 설계되었습니다. ZFS 파일 시스템 암호화를 참조하십시오.
rstchown 등록 정보 – 이전 릴리스에서 chown 작업을 제한하는 데 사용되던 rstchown 조정 가능 매개변수가 이제 ZFS 파일 시스템 등록 정보 rstchown입니다. 이 등록 정보는 일반 파일 시스템 마운트 옵션이기도 합니다. Oracle Solaris 11.2의 ZFS 파일 시스템 관리 및 mount(1M)를 참조하십시오.
/etc/system 파일에서 더 이상 사용되지 않는 이 매개변수를 설정하려고 하면 다음과 같은 메시지가 표시됩니다.
sorry, variable 'rstchown' is not defined in the 'kernel'