Esta seção fornece aos clientes existentes informações sobre os novos recursos de segurança dessa versão.
É possível avaliar a conformidade dos seus sistemas em relação aos padrões de segurança com o novo comando compliance. Ele permite avaliar e gerar relatórios sobre a conformidade do seu sistema em relação aos benchmarks padrão de segurança do mercado, incluindo o PCI-DSS. Para obter detalhes, consulte o Guia de Segurança e Conformidade do Oracle Solaris 11.2 e a página man compliance(1M).
O recurso Estrutura criptográfica do Oracle Solaris tem validação FIPS 140-2, Nível 1 para funções do userland e do kernel nas versões Oracle Solaris 11.1 SRU 5.5 e Oracle Solaris 11.1 SRU 3.
Para obter uma lista de produtos validados do Oracle FIPS 140, consulte Oracle FIPS 140 Software Validations.
Para obter informações sobre como habilitar o Modo FIPS 140 no seu sistema, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
O Oracle Solaris 11.1 é certificado pelo Canadian Common Criteria Scheme. Consulte Certificação Common Criteria EAL4+ do Oracle Solaris 11.
O serviço de auditoria pode usar o Oracle Audit Vault para armazenar, verificar e analisar registros de auditoria. Consulte Using Oracle Audit Vault and Database Firewall for Storage and Analysis of Audit Records no Managing Auditing in Oracle Solaris 11.2 .
A inicialização verificada protege o processo de inicialização de ameaças nos servidores Oracle SPARC T5 Series e Oracle SPARC T7 Series. Para obter mais informações, consulte Using Verified Boot no Securing Systems and Attached Devices in Oracle Solaris 11.2 .
Você pode proteger instalações AI (Automatic Installation) com certificados e chaves para o servidor de instalação, para sistemas clientes específicos, para todos os clientes de um serviço de instalação específico e para qualquer outro cliente AI. Uma AI protegida protege a transmissão de pacotes do Oracle Solaris para os seus sistemas. Consulte Increasing Security for Automated Installations no Installing Oracle Solaris 11.2 Systems .
Um novo pacote de instalação de grupos está disponível, pkg:/group/system/solaris-minimal-server. Para obter uma descrição e uma comparação de conteúdos de pacotes de grupos, consulte Oracle Solaris 11.2 Package Group Lists .
Você pode instalar clientes Kerberos usando AI, para que o cliente seja um sistema com Kerberos na primeira inicialização. Consulte How to Configure Kerberos Clients Using AI no Installing Oracle Solaris 11.2 Systems .
Nesta versão, as zonas globais físicas, denominadas Zonas Globais Imutáveis, e as zonas globais virtuais, chamadas de Zonas do Oracle Solaris Kernel, podem ser somente leitura. As zonas globais imutáveis são relativamente mais avançadas do que as Zonas do Kernel, mas nenhuma delas pode alterar permanentemente o hardware ou a configuração do sistema. A inicialização das zonas somente leitura é mais rápida e mais segura do que a de zonas que permitem gravação.
Para fins de manutenção, as zonas globais imutáveis definem um conjunto especial de processos, denominado TCB (Trusted Computing Base) que pode ser configurado por meio de um login protegido conhecido como Caminho Confiável. Para obter mais informações, consulte o Capítulo 12, Configuring and Administering Immutable Zones, no Creating and Using Oracle Solaris Zones . Para obter informações sobre os recursos de configuração de zonas, consulte Introduction to Oracle Solaris Zones . Consulte as páginas man mwac(5) e tpd(5).
As zonas do Kernel Oracle Solaris são úteis para a implantação de um sistema compatível. Por exemplo, é possível configurar um sistema compatível, criar um Arquivo Unificado e, em seguida, implantar a imagem como uma zona do kernel. Para obter mais informações, consulte a página man solaris-kz(5), Creating and Using Oracle Solaris Kernel Zones , Oracle Solaris Zones Overview no Introduction to Oracle Solaris 11.2 Virtualization Environments e Using Unified Archives for System Recovery and Cloning in Oracle Solaris 11.2 .
Novos recursos nos direitos do usuário e do processo incluem o seguinte:
Controle de acesso baseado em tempo e local aos serviços PAM
Funções de Autorização Gerenciadas nas funções RBAC (ARMOR) predefinidas
Perfis de direitos que exigem que os usuários forneçam uma senha antes de executarem uma ação com privilégios
Os perfis de direitos Network Observability e System Observability para a execução dos comandos de diagnóstico ipstat, tcpstat, snoop e intrstat com privilégio e sem ser root
Para obter detalhes, consulte What’s New in Rights in Oracle Solaris 11.2 no Securing Users and Processes in Oracle Solaris 11.2 .
O IKE Version 2 (IKEv2) fornece o mais recente protocolo IKE para gerenciamento automático de chavez de pacotes de rede protegidos por IPsec. Para obter detalhes, consulte What’s New in Network Security in Oracle Solaris 11.2 no Securing the Network in Oracle Solaris 11.2 .
O HPM (Hardware Management Pack) do Oracle fornece ferramentas de linha de comando para a configuração e atualização de firmware. Para obter informações sobre como usar o HMP de forma segura com outros produtos de hardware do Oracle, como switches de rede e placas de interface de rede, consulte o Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris .