本節提供客戶關於本發行版本中重要之新安全功能的重點資訊。
您可以使用新的 compliance 指令,評估系統的安全標準規範程度。它能夠評估並報告系統相對於業界標準安全基準 (包括 PCI-DSS) 的規範程度。如需詳細資訊,請參閱Oracle Solaris 11.2 安全性規範指南 和 compliance(1M) 線上手冊。
Oracle Solaris 的加密架構功能在 Oracle Solaris 11.1 SRU 5.5 和 Oracle Solaris 11.1 SRU 3 發行版本中的 userland 與核心功能通過 FIPS 140-2 第 1 級認證。
如需經 Oracle FIPS 140 驗證的產品清單,請參閱 Oracle FIPS 140 Software Validations。
如需在您的系統上啟用 FIPS 140 模式 的相關資訊,請參閱Using a FIPS 140 Enabled System in Oracle Solaris 11.2 。
Oracle Solaris 11.1 通過加拿大通用標準計畫 (Canadian Common Criteria Scheme) 認證。請參閱Oracle Solaris 11 Common Criteria EAL4+ 認證。
稽核服務可以使用 Oracle Audit Vault 來儲存、審閱以及分析稽核記錄。請參閱Managing Auditing in Oracle Solaris 11.2 中的Using Oracle Audit Vault and Database Firewall for Storage and Analysis of Audit Records。
經過驗證的啟動可保護 Oracle SPARC T5 系列伺服器與 Oracle SPARC T7 系列伺服器的啟動程序免於遭受威脅。如需更多資訊,請參閱Securing Systems and Attached Devices in Oracle Solaris 11.2 中的Using Verified Boot。
對於安裝伺服器、特定用戶端系統、特定安裝服務的所有用戶端以及任何其他 AI 用戶端,可以使用憑證與金鑰保護「自動安裝 (AI)」的安裝作業。安全 AI 可保護 Oracle Solaris 套裝軟體與系統的傳輸安全。請參閱Installing Oracle Solaris 11.2 Systems 中的Increasing Security for Automated Installations。
有可用的新群組安裝套裝軟體 pkg:/group/system/solaris-minimal-server。如需群組套裝軟體內容的說明與比較,請參閱Oracle Solaris 11.2 Package Group Lists 。
您可以使用 AI 安裝 Kerberos 用戶端,讓用戶端在首次啟動時成為經過 Kerberos 加密的系統。請參閱Installing Oracle Solaris 11.2 Systems 中的How to Configure Kerberos Clients Using AI。
在本發行版本中,實體全域區域 (稱為「不可變全域區域」) 和虛擬全域區域 (稱為「Oracle Solaris 核心區域」) 可以是唯讀狀態。不可變全域區域比核心區域稍為強大一些,但二者均無法永久變更系統的硬體或配置。唯讀區域的啟動速度較快,而且也比允許寫入的區域安全。
不可變全域區域定義了一組稱為信任運算基準 (Trusted Computing Base, TCB) 的特別程序,可以透過稱為「信任的路徑」的受保護登入配置。如需更多資訊,請參閱Creating and Using Oracle Solaris Zones 中的第 12 章Configuring and Administering Immutable Zones。如需區域配置資源的相關資訊,請參閱Introduction to Oracle Solaris Zones 。另請參閱 mwac(5) 和 tpd(5) 線上手冊。
Oracle Solaris 核心區域對於部署相容系統十分有用。例如,您可以配置相容系統、建立「整合歸檔」,然後將影像部署為核心區域。如需更多資訊,請參閱 solaris-kz(5) 線上手冊、Creating and Using Oracle Solaris Kernel Zones 、Introduction to Oracle Solaris 11.2 Virtualization Environments 中的Oracle Solaris Zones Overview以及Using Unified Archives for System Recovery and Cloning in Oracle Solaris 11.2 。
使用者權限與程序權限的新功能包括:
以時間為基礎與以位置為基礎的 PAM 服務存取控制
RBAC 管理的授權角色 (ARMOR) 預先定義角色
運用權限設定檔強制使用者必須先提供密碼後才能執行授權的動作
用於執行 ipstat、tcpstat、snoop 及 intrstat 等診斷指令的「網路可觀察性」和「系統可觀察性」權限設定檔已具備權限,無須以 root 身分執行
如需詳細資訊,請參閱Securing Users and Processes in Oracle Solaris 11.2 中的What’s New in Rights in Oracle Solaris 11.2。
IKE 版本 2 (IKEv2) 提供最新的 IKE 通訊協定,可自動管理 IPsec 保護之網路封包的金鑰。如需詳細資訊,請參閱Securing the Network in Oracle Solaris 11.2 中的What’s New in Network Security in Oracle Solaris 11.2。
Oracle Hardware Management Pack (HMP) 提供用於配置及更新韌體的指令行工具。如需在其他 Oracle 硬體產品 (例如網路交換器和網路介面卡) 安全地使用 HMP 的相關資訊,請參閱Oracle Hardware Management Pack for Oracle Solaris 安全指南 。