請注意下列重要的安全性變更:
位址空間配置隨機化 (ASLR) – 從 Oracle Solaris 11.1 開始,ASLR 會隨機分配指定之二進位檔使用的位址。ASLR 能阻擋特定類型的攻擊 (因為知道某些記憶體範圍的確切位置而發動的攻擊),並可偵測出企圖停止可執行檔的嘗試。使用 sxadm 指令配置 ASLR。使用 elfedit 指令變更二進位檔的標記。請參閱 sxadm(1M) 和 elfedit(1)。
管理編輯器 – 從 Oracle Solaris 11.1 開始,您可以使用 pfedit 指令編輯系統檔案。若系統管理員已定義,則此編輯器的值為 $EDITOR。若未定義,則編輯器預設為 vi 指令。啟動編輯器的方法如下:
$ pfedit system-filename
在本發行版本中,預設會啟用稽核。為提供安全的系統,請使用在開啟管理動作的稽核功能時一律會稽核的介面。由於 pfedit 在使用時一律會受到稽核,所以它是編輯系統檔案的首選指令。請參閱 pfedit(1M) 和Securing Systems and Attached Devices in Oracle Solaris 11.2 中的第 3 章Controlling Access to Systems。
稽核 – 稽核是 Oracle Solaris 11 中的一項服務,並且預設為啟用。停用或啟用此服務時,不需要重新啟動。您可以使用 auditconfig 指令來檢視與稽核策略有關的資訊及變更稽核策略。稽核公用物件會產生雜訊較少的稽核記錄。此外,稽核非核心事件不會影響效能。
如需為稽核檔案建立 ZFS 檔案系統的相關資訊,請參閱Managing Auditing in Oracle Solaris 11.2 中的How to Create ZFS File Systems for Audit Files。
稽核遠端伺服器 (ARS) – ARS 是一項功能,可接收並儲存正受到稽核且有配置使用中 audit_remote 外掛程式之系統的稽核記錄。為了區別受稽核系統與 ARS,可將受稽核系統稱為本機受稽核系統。這是 Oracle Solaris 11.1 中的新功能。請參閱 auditconfig(1M) 中有關 –setremote 選項的資訊。
規範評估 – 使用 compliance 指令 (Oracle Solaris 11.2 中的新功能) 自動化規範評估,而不是修補。您可以使用此指令來列出、產生以及刪除評估和報告。請參閱Oracle Solaris 11.2 安全性規範指南 和 compliance(1M)。
基本稽核報告工具 (BART) – BART 使用的預設雜湊是 SHA256,而非 MD5。除了作為預設值的 SHA256 之外,您也可以選取雜湊演算法。請參閱Securing Files and Verifying File Integrity in Oracle Solaris 11.2 中的第 2 章Verifying File Integrity by Using BART。
cryptoadm 指令變更 – 實作 /etc/system.d 目錄以便更容易封裝 Oracle Solaris 核心配置的同時,也將 cryptoadm 指令更新成寫入此目錄中的檔案,而非寫入先前發行版本的 /etc/system 檔案。請參閱 cryptoadm(1M)。
加密架構 – 這項功能包括更多的演算法、機制以及外掛程式,並且支援 Intel 和 SPARC T4 硬體加速。此外,Oracle Solaris 11 也提供更符合 NSA 套件 B 加密標準的功能。此架構中許多的演算法已針對具備 SSE2 指令集的 x86 平台最佳化。如需有關 T 系列最佳化的詳細資訊,請參閱Managing Encryption and Certificates in Oracle Solaris 11.2 中的Cryptographic Framework and SPARC T-Series Servers。
dtrace 指令變更 – 實作 /etc/system.d 目錄以便更容易封裝 Oracle Solaris 核心配置的同時,也將 dtrace 指令更新成寫入此目錄中的檔案,而非寫入先前發行版本的 /etc/system 檔案。請參閱 dtrace(1M)。
Kerberos DTrace 提供者 – 已新增一個針對 Kerberos 訊息 (通訊協定資料單位) 提供探測的新 DTrace USDT 提供者。這些探測以 RFC 4120 中描述的 Kerberos 訊息類型作為模型。
金鑰管理增強功能:
PKCS#11 金鑰庫支援「信任平台模組」中的 RSA 金鑰
PKCS#11 可存取 Oracle Key Manager 以執行集中式企業金鑰管理
lofi 指令變更 – 在本發行版本中,lofi 指令支援區塊裝置加密。請參閱 lofi(7D)。
profiles 指令變更 – 在 Oracle Solaris 10 中,此指令只用於列出特定使用者或角色的設定檔,或者某位使用者對於特定指令的權限。從 Oracle Solaris 11 開始,您可以使用 profiles 指令,在檔案和 LDAP 中建立及修改設定檔,請參閱 profiles(1)。
sudo 指令 – sudo 是 Oracle Solaris 11 中的新指令。這個指令會在執行其他指令時產生 Oracle Solaris 稽核記錄。如果 sudoers 指令項目是標記為 NOEXEC,這個指令也會刪除 proc_exec 基本特權。
ZFS 檔案系統加密 – ZFS 檔案系統加密是專為保護您資料的安全而設計。請參閱加密 ZFS 檔案系統。
rstchown 特性 – 先前發行版中用於限制 chown 作業的 rstchown 可調整參數,是一個 ZFS 檔案系統特性 rstchown,同時也是一個一般檔案系統掛載選項。請參閱Managing ZFS File Systems in Oracle Solaris 11.2 和 mount(1M)。
如果您嘗試在 /etc/system 檔案中設定這個已不再使用的參數,就會顯示以下訊息:
sorry, variable 'rstchown' is not defined in the 'kernel'