En esta sección, se describen las funciones de seguridad y conformidad de esta versión. Estas nuevas funciones ayudan a evitar nuevas amenazas a través de la protección contra malware y permiten cumplir con las obligaciones de conformidad más estrictas.
La plataforma SPARC de próxima de generación ofrece nuevas capacidades de hardware y software de ingeniería conjunta que permiten que las aplicaciones se ejecuten con los niveles más elevados de seguridad, confiabilidad y velocidad. Esta funcionalidad se conoce como "Software in Silicon" de Oracle. Oracle Solaris 11.3 presenta una función clave de Software in Silicon que se denomina memoria de silicio protegida (SSM). La SSM detecta errores comunes de acceso a la memoria, que incluyen desbordamientos de buffer, errores de acceso a memoria sin asignar o liberada, errores de acceso a memoria de doble liberación (“double free”) y errores de acceso a memoria de puntero obsoleto. Con la SSM activada, es posible que se produzca un error si una aplicación intenta acceder a una memoria a la cual no debe tener acceso. Dado que la SSM es una implementación de hardware, se produce una sobrecarga mínima y puede usarse en producción para detectar posibles problemas de daño de memoria. También puede usarse durante el desarrollo de aplicaciones para garantizar la detección de dichos errores durante la prueba y la certificación de aplicaciones.
Oracle Solaris 11.3 admite la SSM para aplicaciones y herramientas de observación. Por ejemplo, las aplicaciones y los administradores ahora pueden controlar la activación y la desactivación de la SSM para comenzar a proteger el acceso a la memoria. Una vez activada, la SSM será manejada de forma transparente por Oracle Solaris. Para supervisar la SSM, Oracle Solaris 11.3 incluye nuevas extensiones para mdb y DTrace.
Para obtener más información sobre Software in Silicon, consulte: http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html.
Oracle Solaris 11.3 admite firmas hash MD5, que permiten la autenticación de paquetes TCP y garantizan su integridad. Los protocolos basados en TCP que no pueden usar IPsec o no tienen la capacidad de autenticar paquetes TCP entre hosts ahora pueden configurar claves y usar estas firmas hash MD5 en los paquetes TCP. La firma hash MD5 está diseñada principalmente para el protocolo de puerta de enlace de borde (BGP). Tenga en cuenta que existe una penalización de rendimiento asociada con la firma de cada paquete.
Para obtener más información, consulte la página del comando man tcpkey(1M).
El inicio verificado de Oracle Solaris ahora admite las zonas del núcleo de Oracle Solaris. Esta función de integridad y antimalware reduce el riesgo de introducir componentes críticos de núcleo e inicio modificados accidentalmente o maliciosos. Esta función comprueba las firmas criptográficas del firmware, el inicio del sistema, el núcleo y los módulos del núcleo.
Las tres opciones de política son ignore, warn and continue y refuse to load the component.
Para obtener más información, consulte la página del comando man zonecfg(1M). También puede consultar Protección de sistemas y dispositivos conectados en Oracle Solaris 11.3 y Creación y uso de zonas del núcleo de Oracle Solaris.
Oracle Solaris 11.3 ahora ofrece la opción de implementaciones de SSH. Una nueva implementación de OpenSSH basada en OpenSSH 6.5pl coexiste con SunSSH. Puede escoger cualquiera de las implementaciones usando el mecanismo pkg mediator. La implementación de SSH predeterminada es SunSSH.
Para alternar entre ellas, ejecute los siguientes comandos:
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
Los paquetes de SSH se refactorizaron para proporcionar una transición más sencilla entre las implementaciones de SSH.
Para obtener más información, consulte Gestión de acceso mediante shell seguro en Oracle Solaris 11.3.
Oracle Solaris 11.3 proporciona una función que agrega protección opcional para el entorno de inicio en un sistema compartido. También permite que el menú de GRUB tenga una opción de protección con contraseña para la carga de menú, la modificación de entradas de menú y el inicio de entradas de menú.
Para obtener más información, consulte la página del comando man bootadm(1M). También puede consultar Directrices de seguridad y endurecimiento de Oracle Solaris 11.
Oracle Solaris 11.3 incluye la capacidad para acotar el conjunto de referencias que se usan en la evaluación de la conformidad de seguridad. Esta función permite obtener una mejor coincidencia con las políticas de seguridad locales sin modificar la referencia base en sí misma. El comando compliance ahora incluye un subcomando tailor y una nueva interfaz interactiva que admite la creación de personalizaciones, lo que permite la inclusión o exclusión individuales de reglas de referencia que se usan para evaluar un sistema.
En el siguiente ejemplo, se muestra cómo se crearía una nueva personalización denominada mytailoring para agregar dos reglas adicionales al perfil básico de la referencia de Oracle Solaris.
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
Para obtener más información, consulte la página del comando man compliance-tailor(1M).
Oracle Solaris 11.3 incluye el firewall de filtro de paquetes (PF) OpenBSD 5.5 para filtrar tráfico TCP/IP. PF brinda una alternativa para el filtro IP (IPF) existente que ya viene incluido en Oracle Solaris, lo que permite la gestión de ancho de banda y la prioridad de paquetes. Para usar el firewall PF, debe instalar el paquete pkg:/network/firewall y activar la instancia de servicio svc:/network/firewall:default.
Para obtener más información, consulte las páginas del comando man pfctl(1M), pf.conf(5) y pf.os(5).
Oracle Solaris 11.3 incluye una nueva política de solo lectura (file-mac-profile), dynamic-zones. Este perfil permite a los administradores crear y destruir zonas de núcleo y zonas no globales en un entorno de zonas globales invariables, a la vez que ofrece beneficios similares al perfil fixed-configuration existente. Este perfil es válido solo para la zona global, que incluye la zona global de una zona de núcleo.