Oracle Solaris 11.2 的新增安全功能

本节重点向现有客户介绍有关此发行版新增重要安全功能的信息。

• 借助新的 compliance 命令，您可以评估系统是否符合安全标准。您可以使用该命令评估并报告系统是否符合行业标准安全基准（包括 PCI-DSS）。有关详细信息，请参见Oracle Solaris 11.2 安全遵从性指南 和 compliance(1M) 手册页。

• Oracle Solaris 的加密框架功能通过了有关 Oracle Solaris 11.1 SRU 5.5 和 Oracle Solaris 11.1 SRU 3 发行版中用户级函数和内核函数的 FIPS 140-2 第 1 级验证。

  • 有关通过 Oracle FIPS 140 验证的产品的列表，请参见 Oracle FIPS 140 Software Validations（Oracle FIPS 140 软件验证）。

  • 有关在系统上启用 FIPS 140 模式 的信息，请参见Using a FIPS 140 Enabled System in Oracle Solaris 11.2 。

• Oracle Solaris 11.1 通过了加拿大通用评估准则体系认证。请参见Oracle Solaris 11 通用评估准则 EAL4+ 认证。

• 审计服务可以使用 Oracle Audit Vault 来存储、查看和分析审计记录。请参见在 Oracle Solaris 11.2 中管理审计 中的将 Oracle Audit Vault and Database Firewall 用于存储和分析审计记录。

• 经验证的引导可保护 Oracle SPARC T5 系列服务器和 Oracle SPARC T7 系列服务器上的引导过程免受威胁。有关更多信息，请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中的使用验证的引导。

• 可以使用证书和密钥来保护以下对象的自动安装 (Automatic Installation, AI)：安装服务器、指定客户机系统、指定安装服务的所有客户机以及任何其他 AI 客户机。安全 AI 可保护 Oracle Solaris 软件包安全传输到系统。请参见安装 Oracle Solaris 11.2 系统 中的提高自动化安装的安全性。

• 提供了新的组安装软件包 pkg:/group/system/solaris-minimal-server。有关组软件包内容的说明和比较，请参见Oracle Solaris 11.2 Package Group Lists 。

• 可以使用 AI 安装 Kerberos 客户机，以便客户机在首次引导时就是基于 Kerberos 的系统。请参见安装 Oracle Solaris 11.2 系统 中的如何使用 AI 配置 Kerberos 客户机。

• 在此发行版中，物理全局区域（称为不可变全局区域）和虚拟全局区域（称为 Oracle Solaris 内核区域）可以为只读区域。不可变全局区域的功能比内核区域稍为强大，但这两种区域均无法永久更改系统的硬件或配置。与允许写入的区域相比，只读区域引导速度更快且安全性更高。

  出于维护目的，不可变全局区域定义了一组称为可信计算基 (Trusted Computing Base, TCB) 的特殊进程，您可以通过称为可信路径的受保护登录配置此类进程。有关更多信息，请参见创建和使用 Oracle Solaris 区域 中的第 12  章 配置和管理不可编辑的区域。有关区域配置资源的信息，请参见Oracle Solaris Zones 介绍 。另请参见 mwac(5) 和 tpd(5) 手册页。

  Oracle Solaris 内核区域对部署合规系统很有用。例如，可以配置合规系统，创建统一归档，然后将映像部署为内核区域。有关更多信息，请参见 solaris-kz(5) 手册页、创建和使用 Oracle Solaris 内核区域 、Oracle Solaris 11.2 虚拟环境介绍 中的Oracle Solaris Zones 概述和在 Oracle Solaris 11.2 中使用统一归档文件进行系统恢复和克隆 。

• 用户权限和进程权限的新增功能包括：

  • 对 PAM 服务基于时间以及基于位置的访问控制

  • 在 RBAC 上管理的授权角色 (Authorization Roles Managed on RBAC, ARMOR)，为预定义角色

  • 强制用户先提供口令再运行特权操作的权限配置文件

  • 网络监测和系统监测权限配置文件，用于在具有特权但不是 root 的情况下运行诊断命令 ipstat、tcpstat、snoop 和 intrstat

  有关详细信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的Oracle Solaris 11.2 中新增的权限功能。

• IKE 版本 2 (IKE Version 2, IKEv2) 提供了最新 IKE 协议，用于对受 IPsec 保护的网络数据包进行自动密钥管理。有关详细信息，请参见在 Oracle Solaris 11.2 中确保网络安全 中的Oracle Solaris 11.2 中新增的网络安全功能。

• Oracle Hardware Management Pack (HMP) 提供了用于配置和更新固件的命令行工具。有关如何安全地配合其他 Oracle 硬件产品（如网络交换机和网络接口卡）使用 HMP 的信息，请参见Oracle Hardware Management Pack for Oracle Solaris 安全指南 。