Observe as seguintes alterações principais de segurança:
Address Space Layout Randomization (ASLR) – A partir do Oracle Solaris 11.1, ASLR randomiza os endereços usados por um determinado binário. A ASLR provoca a falha de determinados tipos de ataque com base no conhecimento da localização exata de alguns intervalos de memória e detecta a tentativa no momento em que o executável é interrompido. Use o comando sxadm para configurar a ASLR. Use o comando elfedit para alterar a identificação em um binário. Consulte sxadm(1M) e elfedit(1).
Editor Administrativo – A partir do Oracle Solaris 11.1, é possível usar o comando pfedit para editar os arquivos de sistema. Se definido pelo administrador de sistema, o valor desse editor será $EDITOR. Se indefinido, o editor terá como padrão o comando vi. Inicie o editor da seguinte forma:
$ pfedit system-filename
Nesta versão, a auditoria está ativada por padrão. Para um sistema seguro, use as interfaces que são sempre auditadas quando a auditoria de ações administrativas estiver ativada. Em razão do uso do pfedit sempre ser auditado, ele é o comando preferido para a edição dos arquivos de sistema. Consulte pfedit(1M) e o Capítulo 3, Controlling Access to Systems, no Securing Systems and Attached Devices in Oracle Solaris 11.2 .
Auditoria – A auditoria é um serviço no Oracle Solaris 11 e é habilitada por padrão. Nenhuma reinicialização é necessária ao desabilitar ou habilitar esse serviço. Você usa o comando auditconfig para exibir informações sobre a política de auditoria e alterar a política de auditoria. A auditoria de objetos públicos gera menos ruído na trilha de auditoria. Além disso, a auditoria de eventos não kernel não tem impacto no desempenho.
Para obter informações sobre a criação de um sistema de arquivos ZFS para arquivos de auditoria, consulte How to Create ZFS File Systems for Audit Files no Managing Auditing in Oracle Solaris 11.2 .
Audit Remote Server (ARS) – O ARS é um recurso que recebe e armazena registros de auditoria a partir de um sistema que está sendo auditado e é configurado com um plug-in audit_remote ativo. Para distinguir um sistema auditado de um ARS, o sistema auditado pode ser denominado sistema auditado localmente. Esse recurso é novo no Oracle Solaris 11.1. Consulte as informações sobre a opção –setremote em auditconfig(1M).
Avaliação de conformidade – Use o comando compliance (novo no Oracle Solaris 11.2) para automatizar a avaliação de conformidade, não a remediação. Você pode usar o comando para listar, gerar e excluir avaliações e relatórios. Consulte o Guia de Segurança e Conformidade do Oracle Solaris 11.2 e a página man compliance(1M).
BART (Basic Audit Reporting Tool) – O hash padrão usado por BART é SHA256, não MD5. Além de SHA256 ser o padrão, também é possível selecionar o algoritmo hash. Consulte o Capítulo 2, Verifying File Integrity by Using BART, no Securing Files and Verifying File Integrity in Oracle Solaris 11.2 .
Alterações no comando cryptoadm – Como parte da implementação do diretório /etc/system.d para facilitar o empacotamento da configuração do Oracle Solaris kernel, o comando cryptoadm também foi atualizado para gravar em arquivos nesse diretório em vez do arquivo /etc/system como nas versões anteriores. Consulte cryptoadm(1M).
Estrutura Criptográfica – Esse recurso inclui mais algoritmos, mecanismos, plug-ins e suporte para aceleração de hardware Intel e SPARC T4. O Oracle Solaris 11 também fornece um melhor alinhamento com a criptografia NSA Suite B. Muitos dos algoritmos na estrutura são otimizados para plataformas x86 com o conjunto de instruções SSE2. Para obter mais informações sobre otimizações da T-Series, consulte Cryptographic Framework and SPARC T-Series Servers no Managing Encryption and Certificates in Oracle Solaris 11.2 .
Alterações no comando dtrace – Como parte da implementação do diretório /etc/system.d para facilitar o empacotamento da configuração do Oracle Solaris kernel, o comando dtrace também foi atualizado para gravar em arquivos nesse diretório em vez do arquivo /etc/system como nas versões anteriores. Consulte dtrace(1M).
Provedores DTrace Kerberos – Um novo provedor USDT DTrace que fornece investigações para as mensagens Kerberos (Protocol Data Unit) que foram adicionadas. As investigações são modeladas depois dos tipos de mensagens Kerberos descritas em RFC 4120.
Aprimoramentos do gerenciamento de teclas:
Suporte keystroke PKCS#11 para teclas RSA no Trusted Platform Module
Acesso PKCS#11 ao Oracle Key Manager para gerenciamento centralizado de teclas
Alterações do comando lofi – O comando lofi fornece a criptografia de dispositivos de blocos nesta versão. Consulte lofi(7D).
Alterações no comando profiles – No Oracle Solaris 10, esse comando só é usado para listar perfis para um usuário ou função específicos, ou privilégios de um usuário para comandos específicos. A partir do Oracle Solaris 11, você pode criar e modificar perfis em arquivos e em LDAP usando o comando profiles, consulte profiles(1).
Comando sudo – O comando sudo é novo no Oracle Solaris 11. Esse comando gera registros de auditoria Oracle Solaris quando executa comandos. O comando também remove o privilégio básico proc_exec, se a entrada do comando sudoers estiver identificada como NOEXEC.
Criptografia do sistema de arquivos ZFS – A criptografia do sistema de arquivos ZFS é designada para manter seus dados protegidos. Consulte Criptografando Sistemas de Arquivos ZFS.
Propriedade rstchown – O parâmetro ajustável rstchown usado em versões anteriores para restringir operações chown é uma propriedade de sistema de arquivos ZFS, rstchown, e também é uma opção de montagem de sistema de arquivos geral. Consulte Managing ZFS File Systems in Oracle Solaris 11.2 e mount(1M).
Se você tentar definir esse parâmetro obsoleto no arquivo /etc/system, a seguinte mensagem será exibida:
sorry, variable 'rstchown' is not defined in the 'kernel'