In diesem Abschnitt werden die Sicherheits- und Compliancefunktionen in diesem Release beschrieben. Diese neuen Funktionen helfen durch Antischadsoftwareschutz bei der Verhinderung neuer Bedrohungen und lassen die Einhaltung strengster Compliancevorschriften zu.
Die SPARC-Plattform der nächsten Generation bietet neue gemeinsam entwickelte Hardware- und Softwarefunktionen, mit denen Anwendungen mit der höchsten Sicherheits-, Verlässlichkeits- und Geschwindigkeitsstufe ausgeführt werden können. Diese Funktionalität wird als "Software in Silicon" von Oracle bezeichnet. Oracle Solaris 11.3 führt ein Schlüsselfeature von "Software in Silicon" ein, das als Silicon Secured Memory (SSM) bezeichnet wird. SSM erkennt allgemeine Speicherzugriffsfehler, einschließlich Pufferüberlauf, Fehler wegen Zugriff auf nicht zugeordneten oder freigegebenen Speicher, "Double free"-Speicherzugriffsfehler und Speicherzugriffsfehler wegen veralteter Zeiger. Wenn SSM aktiviert ist, wird wahrscheinlich ein Fehler ausgelöst, wenn eine Anwendung versucht, auf Speicher zuzugreifen, auf den sie keinen Zugriff haben sollte. Da SSM eine Hardwareimplementierung ist, verursacht sie minimalen Overhead und kann in der Production verwendet werden, um Probleme wegen potenzieller Arbeitsspeicherfehler zu ermitteln. Sie können SSM während der Anwendungsentwicklung verwenden, um sicherzustellen, dass derartige Fehler beim Testen und Zertifizieren der Anwendungen abgefangen werden.
Oracle Solaris 11.3 unterstützt SSM sowohl für Anwendungen als auch für Beobachtbarkeitstools. Beispiel: Anwendungen und Administratoren können jetzt die Aktivierung oder Deaktivierung von SSM kontrollieren, um mit dem Schutz des Speicherzugriffs zu beginnen. Nach der Aktivierung wird SSM transparent von Oracle Solaris verwendet. Zur Überwachung von SSM umfasst Oracle Solaris 11.3 jetzt neue Erweiterungen für mdb und DTrace.
Weitere Informationen zu "Software in Silicon" finden Sie unter dem folgenden Link: http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html.
Oracle Solaris 11.3 unterstützt MD5-Hash-Signaturen, die die Authentifizierung von TCP-Paketen ermöglichen und deren Integrität sicherstellen. TCP-basierte Protokolle, die IPsec nicht verwenden können oder nicht die Möglichkeit haben, TCP-Pakete zwischen Hosts zu authentifizieren, können jetzt Schlüssel einrichten und diese MD5-Hash-Signaturen in ihren TCP-Paketen verwenden. Die MD5-Hash-Signatur ist in erster Linie für das Border Gateway-Protokoll (BGP) gedacht. Allerdings wirkt sich die Signatur jedes Pakets auf die Performance aus.
Weitere Informationen finden Sie auf der Manpage tcpkey(1M).
Oracle Solaris Verified Boot unterstützt jetzt Oracle Solaris Kernel Zones. Diese Antischadsoftware- und Integritätsfunktion verringert die Gefahr des Einschleusens böswilliger oder versehentlich geänderter kritischer Boot- und Kernelkomponenten. Diese Funktion prüft die kryptografischen Signaturen von Firmware, Bootsystem sowie Kernel und Kernelmodulen.
Die drei Richtlinienoptionen sind Ignorieren, Warnen und fortfahren und Laden der Komponente wird abgelehnt.
Weitere Informationen finden Sie auf der Manpage zonecfg(1M). Außerdem wird auf Securing Systems and Attached Devices in Oracle Solaris 11.3 und Creating and Using Oracle Solaris Kernel Zones verwiesen.
Bei Oracle Solaris 11.3 kann jetzt unter SSH-Implementierungen gewählt werden. Eine neue OpenSSH-Implementierung basierend auf OpenSSH 6.5pl ist zusammen mit SunSSH vorhanden. Sie können eine der Implementierungen mit dem pkg mediator-Verfahren wählen. Die Standard-SSH-Implementierung ist SunSSH.
Um zwischen den Implementierungen zu wechseln, führen Sie die folgenden Befehle aus:
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
Die SSH-Pakete wurden umgestaltet, um einen nahtloseren Übergang zwischen SSH-Implementierungen zu ermöglichen.
Weitere Informationen finden Sie in Managing Secure Shell Access in Oracle Solaris 11.3.
Oracle Solaris 11.3 enthält eine Funktion, die optionalen Schutz für Bootumgebungen in einem freigegebenen System bietet. Mit ihr kann für das GRUB-Menü eine Passwortschutzoption beim Laden von Menüs, bei der Änderung von Menüeinträgen und beim Booten von Menüeinträgen festgelegt werden.
Weitere Informationen finden Sie auf der Manpage bootadm(1M). Außerdem wird auf Oracle Solaris 11 - Bestimmungen zur Sicherheit und Härtung verwiesen.
In Oracle Solaris 11.3 kann jetzt das Set von Benchmarks verfeinert werden, das bei der Bewertung der Sicherheitscompliance verwendet wird. Mit dieser Funktion können örtliche Sicherheitsrichtlinien besser angeglichen werden, ohne die Basisbenchmark selbst zu verändern. Der compliance-Befehl umfasst jetzt einen tailor-Unterbefehl und eine neue interaktive Schnittstelle, die das Erstellen von individuellen Anpassungen unterstützt, sodass Benchmarkregeln, die für das Testen eines Systems verwendet werden, individuell hinzugefügt oder ausgeschlossen werden können.
Im folgenden Beispiel wird dargestellt, wie Sie eine neue Anpassung namens mytailoring erstellen, die dem Baseline-Profil aus der Oracle Solaris-Benchmark zwei zusätzliche Regeln hinzufügt.
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
Weitere Informationen finden Sie auf der Manpagecompliance-tailor(1M).
Oracle Solaris 11.3 umfasst die OpenBSD 5.5 Packet Filter-(PF-)Firewall zur Filterung des TCP/IP-Datenverkehrs. PF bietet eine Alternative zu dem vorhandenen IP-Filter (IPF), der bereits in Oracle Solaris enthalten ist, mit der Bandbreitenverwaltung und Paketpriorisierung aktiviert werden. Zur Verwendung der PF-Firewall installieren Sie das pkg:/network/firewall-Package und aktivieren die svc:/network/firewall:default-Serviceinstanz.
Weitere Informationen finden Sie auf den Manpages pfctl(1M), pf.conf(5) und pf.os(5).
Oracle Solaris 11.3 umfasst jetzt eine neue schreibgeschützte Richtlinie (file-mac-profile), dynamic-zones. Mit diesem Profil können Administratoren Kernel-Zonen und nicht-globale Zonen in einer unveränderlichen globalen Zonenumgebung erstellen und endgültig löschen und dabei weiterhin die Vorteile nutzen, die dem vorhandenen fixed-configuration-Profil ähnlich sind. Dieses Profil ist nur für die globale Zone gültig, einschließlich der globalen Zone einer Kernel-Zone.