Cette section décrit les fonctions de sécurité et de conformité dans cette version. Ces nouvelles fonctionnalités permettent d'empêcher de nouvelles menaces via une protection antimalware et permettent de répondre aux obligations les plus strictes en matière de conformité.
La plate-forme SPARC de nouvelle génération offre de nouvelles fonctions conçues pour le matériel et le logiciel, qui permettent aux applications de s'exécuter avec les niveaux maximaux de sécurité, de fiabilité et de vitesse. Cette fonctionnalité est appelée "Software in Silicon" d'Oracle. Oracle Solaris 11.3 introduit un logiciel clé dans Silicon : Silicon Secured Memory (SSM). SSM détecte les erreurs courantes d'accès à la mémoire, notamment les dépassements de mémoire tampon, les erreurs d'accès à la mémoire libérée ou non allouée, les erreurs d'accès à la mémoire "double libération" et pointeur obsolète. Une fois SSM activé, il est possible qu'une erreur survienne si une application tente d'accéder à une mémoire à laquelle elle ne devrait pas avoir accès. SSM étant une implémentation matérielle, il implique un temps système minimal et peut être utilisé en production pour détecter les éventuels problèmes d'altération de mémoire. Vous pouvez également utiliser SSM lors du développement d'applications pour vérifier que des erreurs de ce type sont détectées lors du test et de la certification des applications.
Oracle Solaris 11.3 prend en charge SSM à la fois pour les applications et les outils d'observabilité. Par exemple, les applications et les administrateurs peuvent désormais contrôler l'activation ou la désactivation de SSM pour mettre en œuvre la protection de l'accès à la mémoire. Une fois activé, SSM sera traité en toute transparence par Oracle Solaris. Pour surveiller SSM, Oracle Solaris 11.3 comprend de nouvelles extensions pour mdb et DTrace.
Pour plus d'informations sur Software in Silicon, voir : http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html.
Oracle Solaris 11.3 prend en charge les signatures de hachage MD5, qui permettent l'authentification de paquets TCP et assurent leur intégrité. Les protocoles TCP qui ne peuvent pas utiliser IPsec ou n'ont pas la possibilité d'authentifier des paquets TCP entre les hôtes peuvent désormais configurer des clés et utiliser ces signatures de hachage MD5 sur les paquets TCP. La signature de hachage MD5 est principalement destinée au protocole BGP (Border Gateway Protocol). Notez qu'une pénalité de performance est associée à la signature de chaque paquet.
Pour plus d'informations, consultez la page de manuel tcpkey(1M).
Oracle Solaris Verified Boot prend désormais en charge les zones de noyau Oracle Solaris. Cette fonction antimalware permet de réduire les risques d'introduction de composants du noyau ou d'initialisation essentiels qui ont été modifiés par accident ou de manière malveillante. Cette fonction vérifie les signatures cryptographiques du microprogramme, du système d'initialisation, du noyau et des modules du noyau.
Les trois options de stratégie sont ignore, warn and continue et refuse to load the component.
Pour plus d'informations, reportez-vous à la page de manuel zonecfg(1M). Vous pouvez également consulter les manuels Sécurisation des systèmes et des périphériques connectés dans Oracle Solaris 11.3 et Création et utilisation des zones de noyau d’Oracle Solaris.
Oracle Solaris 11.3 propose désormais un choix d'implémentations SSH. Une nouvelle implémentation OpenSSH basée sur OpenSSH 6.5pl cohabite avec SunSSH. Vous pouvez choisir l'une des deux implémentations, à l'aide du mécanisme pkg mediator. L'implémentation SSH par défaut est SunSSH.
Pour passer d'une implémentation à l'autre, exécutez les commandes suivantes :
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
Les packages SSH ont été remodelés pour offrir une transition plus transparente entre les implémentations SSH.
Pour plus d'informations, reportez-vous au manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.3.
Oracle Solaris 11.3 propose une fonction qui ajoute une protection facultative de l'environnement d'initialisation dans un système partagé. Elle permet également au menu GRUB de disposer d'une option de protection par mot de passe pour le chargement du menu, ainsi que pour la modification et l'initialisation des entrées de menu.
Pour plus d'informations, reportez-vous à la page de manuel bootadm(1M). Vous pouvez également consulter le manuel Oracle Solaris 11 - Fonctions de sécurité et directives de sécurisation.
Oracle Solaris 11.3 ajoute la possibilité d'améliorer l'ensemble des tests utilisés pour l'évaluation de la conformité de sécurité. Cette fonction permet une meilleure adéquation avec les stratégies de sécurité locales sans modifier le test d'évaluation de base lui-même. La commande compliance inclut désormais une sous-commande tailor et une nouvelle interface interactive pour prendre en charge la création de personnalisations, autorisant ainsi l'inclusion ou l'exclusion individuelle de règles de test utilisées pour l'évaluation d'un système.
L'exemple suivant montre comment créer une nouvelle personnalisation appelée mytailoring qui ajoute deux règles supplémentaires au profil de référence du test d'évaluation Oracle Solaris.
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
Pour plus d'informations, reportez-vous à la page de manuel compliance-tailor(1M).
Oracle Solaris 11.3 inclut le pare-feu OpenBSD 5.5 Packet Filter (PF) pour filtrer le trafic TCP/IP. PF offre une alternative au filtre IP (IPF) existant déjà inclus dans Oracle Solaris, ce qui permet ainsi à la fois la gestion de la bande passante et la priorisation de paquets. Pour utiliser le pare-feu PF, installez le package pkg:/network/firewall et activez l'instance de service svc:/network/firewall:default.
Pour plus d'informations, reportez-vous aux pages de manuel pfctl(1M), pf.conf(5) et pf.os(5).
Oracle Solaris 11.3 inclut une nouvelle stratégie en lecture seule (file-mac-profile), dynamic-zones. Ce profil permet aux administrateurs de créer et de détruire des zones de noyau et des zones non globales dans un environnement de zone globale immuable, tout en continuant à offrir des avantages similaires au profil fixed-configuration existant. Ce profil est valide uniquement pour la zone globale, qui inclut la zone globale d'une zone de noyau.