本节重点向现有客户介绍有关此发行版新增重要安全功能的信息。
借助新的 compliance 命令,您可以评估系统是否符合安全标准。您可以使用该命令评估并报告系统是否符合行业标准安全基准(包括 PCI-DSS)。有关详细信息,请参见Oracle Solaris 11.2 安全遵从性指南 和 compliance(1M) 手册页。
Oracle Solaris 的加密框架功能通过了有关 Oracle Solaris 11.1 SRU 5.5 和 Oracle Solaris 11.1 SRU 3 发行版中用户级函数和内核函数的 FIPS 140-2 第 1 级验证。
有关通过 Oracle FIPS 140 验证的产品的列表,请参见 Oracle FIPS 140 Software Validations(Oracle FIPS 140 软件验证)。
有关在系统上启用 FIPS 140 模式 的信息,请参见Using a FIPS 140 Enabled System in Oracle Solaris 11.2 。
Oracle Solaris 11.1 通过了加拿大通用评估准则体系认证。请参见Oracle Solaris 11 通用评估准则 EAL4+ 认证。
审计服务可以使用 Oracle Audit Vault 来存储、查看和分析审计记录。请参见在 Oracle Solaris 11.2 中管理审计 中的将 Oracle Audit Vault and Database Firewall 用于存储和分析审计记录。
经验证的引导可保护 Oracle SPARC T5 系列服务器和 Oracle SPARC T7 系列服务器上的引导过程免受威胁。有关更多信息,请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中的使用验证的引导。
可以使用证书和密钥来保护以下对象的自动安装 (Automatic Installation, AI):安装服务器、指定客户机系统、指定安装服务的所有客户机以及任何其他 AI 客户机。安全 AI 可保护 Oracle Solaris 软件包安全传输到系统。请参见安装 Oracle Solaris 11.2 系统 中的提高自动化安装的安全性。
提供了新的组安装软件包 pkg:/group/system/solaris-minimal-server。有关组软件包内容的说明和比较,请参见Oracle Solaris 11.2 Package Group Lists 。
可以使用 AI 安装 Kerberos 客户机,以便客户机在首次引导时就是基于 Kerberos 的系统。请参见安装 Oracle Solaris 11.2 系统 中的如何使用 AI 配置 Kerberos 客户机。
在此发行版中,物理全局区域(称为不可变全局区域)和虚拟全局区域(称为 Oracle Solaris 内核区域)可以为只读区域。不可变全局区域的功能比内核区域稍为强大,但这两种区域均无法永久更改系统的硬件或配置。与允许写入的区域相比,只读区域引导速度更快且安全性更高。
出于维护目的,不可变全局区域定义了一组称为可信计算基 (Trusted Computing Base, TCB) 的特殊进程,您可以通过称为可信路径的受保护登录配置此类进程。有关更多信息,请参见创建和使用 Oracle Solaris 区域 中的第 12 章 配置和管理不可编辑的区域。有关区域配置资源的信息,请参见Oracle Solaris Zones 介绍 。另请参见 mwac(5) 和 tpd(5) 手册页。
Oracle Solaris 内核区域对部署合规系统很有用。例如,可以配置合规系统,创建统一归档,然后将映像部署为内核区域。有关更多信息,请参见 solaris-kz(5) 手册页、创建和使用 Oracle Solaris 内核区域 、Oracle Solaris 11.2 虚拟环境介绍 中的Oracle Solaris Zones 概述和在 Oracle Solaris 11.2 中使用统一归档文件进行系统恢复和克隆 。
用户权限和进程权限的新增功能包括:
对 PAM 服务基于时间以及基于位置的访问控制
在 RBAC 上管理的授权角色 (Authorization Roles Managed on RBAC, ARMOR),为预定义角色
强制用户先提供口令再运行特权操作的权限配置文件
网络监测和系统监测权限配置文件,用于在具有特权但不是 root 的情况下运行诊断命令 ipstat、tcpstat、snoop 和 intrstat
有关详细信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的Oracle Solaris 11.2 中新增的权限功能。
IKE 版本 2 (IKE Version 2, IKEv2) 提供了最新 IKE 协议,用于对受 IPsec 保护的网络数据包进行自动密钥管理。有关详细信息,请参见在 Oracle Solaris 11.2 中确保网络安全 中的Oracle Solaris 11.2 中新增的网络安全功能。
Oracle Hardware Management Pack (HMP) 提供了用于配置和更新固件的命令行工具。有关如何安全地配合其他 Oracle 硬件产品(如网络交换机和网络接口卡)使用 HMP 的信息,请参见Oracle Hardware Management Pack for Oracle Solaris 安全指南 。