このセクションでは、このリリースのセキュリティーおよびコンプライアンス機能について説明します。これらの新機能は、マルウェアに対する保護によって新しい脅威を回避し、もっとも厳しいコンプライアンスの義務を果たすことができます。
次世代の SPARC プラットフォームは、アプリケーションを最高レベルのセキュリティー、信頼性、および速度で実行できるようにする、新しい協調設計されたハードウェアおよびソフトウェア機能を提供します。この機能は Oracle の「ソフトウェアインシリコン」として知られています。Oracle Solaris 11.3 では、シリコンセキュアメモリー (SSM) と呼ばれる主要な Software in Silicon 機能が導入されました。SSM はバッファーのオーバーフロー、未割り当てのメモリーまたは解放されたメモリーへのアクセスエラー、「二重解放」メモリーアクセスエラー、および無効なポインタによるメモリーアクセスエラーなど、一般的なメモリーアクセスエラーを検出します。SSM を有効にすると、アプリケーションがアクセス権のないメモリーにアクセスしようとすると、多くの場合はエラーが発生します。SSM はハードウェア実装であるため、発生するオーバーヘッドは最小であり、本番環境に使用すると潜在的なメモリー破損の問題を検出できます。SSM はアプリケーションの開発中に使用し、アプリケーションのテストや認証の段階でエラーが捕捉されるようにできます。
Oracle Solaris 11.3 は、アプリケーションおよび可観測性ツールの両方で SSM をサポートしています。たとえば、アプリケーションおよび管理者は、メモリーアクセスの保護を開始するために、SSM の有効化または無効化を制御できるようになりました。有効にすると、SSM は Oracle Solaris によって透過的に処理されます。SSM をモニターするために、Oracle Solaris 11.3 には mdb および DTrace の新しい拡張機能が導入されています。
Software in Silicon の詳細は、http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html を参照してください。
Oracle Solaris 11.3 は、TCP パケットの認証を有効にし、その整合性を保証する MD5 ハッシュ署名をサポートしています。IPsec を使用できない TCP ベースのプロトコル、またはホスト間の TCP パケットを認証する機能がない TCP ベースのプロトコルは、TCP パケットに対してキーを設定し、これらの MD5 ハッシュ署名を使用できるようになりました。MD5 ハッシュ署名は、ボーダーゲートウェイプロトコル (BGP) が主な対象です。各パケットの署名に付随して、パフォーマンスが低下することがあります。
詳細は、tcpkey(1M) のマニュアルページを参照してください。
Oracle Solaris ベリファイドブートは、Oracle Solaris カーネルゾーンをサポートするようになりました。このアンチマルウェアの整合性機能は、悪意のあるものが侵入するリスク、または重要なブートコンポーネントおよびカーネルコンポーネントを誤って変更するリスクを軽減します。この機能は、ファームウェア、ブートシステム、およびカーネルおよびカーネルモジュールの暗号化署名をチェックします。
3 つのポリシーオプションは、ignore、warn and continue、および refuse to load the component です。
詳細は、zonecfg(1M) のマニュアルページを参照してください。また、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護およびOracle Solaris カーネルゾーンの作成と使用を参照することもできます。
Oracle Solaris 11.3 では SSH 実装を選択できるようになりました。OpenSSH 6.5pl に基づく新しい OpenSSH 実装は SunSSH と共存します。pkg mediator メカニズムを使用して、どちらかの実装を選択できます。デフォルトの SSH 実装は SunSSH です。
それらを切り替えるには、次のコマンドを実行します。
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
SSH パッケージは、SSH 実装間でよりシームレスに遷移できるようにリファクタリングされました。
詳細は、Oracle Solaris 11.3 での Secure Shell アクセスの管理を参照してください。
Oracle Solaris 11.3 は、共有システムにオプションのブート環境保護を追加する機能を提供しています。GRUB メニューで、メニューのロード、メニューエントリの変更、およびメニューエントリのブートにパスワード保護オプションを加えることもできます。
詳細は、bootadm(1M) のマニュアルページを参照してください。また、Oracle Solaris 11 セキュリティーと強化ガイドラインを参照することもできます。
Oracle Solaris 11.3 には、セキュリティーコンプライアンスの評価に使用される一連のベンチマークを改良する機能が追加されています。この機能により、基本ベンチマーク自体は変更せずに、ローカルのセキュリティーポリシーにさらに適合させることができます。compliance コマンドには tailor サブコマンド、およびテーラリングの作成をサポートするための新しい対話型インタフェースが含まれるようになり、システムを評価するために使用されるベンチマークルールの個別の取り込みまたは除外が可能になりました。
次の例は、Oracle Solaris ベンチマークのベースラインプロファイルに 2 つのルールを追加する mytailoring という新しい調整設定を作成する方法を示しています。
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
詳細は、compliance-tailor(1M) のマニュアルページを参照してください。
Oracle Solaris 11.3 には、TCP/IP トラフィックをフィルタリングするための OpenBSD 5.5 パケットフィルタ (PF) ファイアウォールが含まれています。PF は、Oracle Solaris にすでに組み込まれている既存の IP フィルタ (IPF) の代替物を提供し、帯域幅の管理およびパケットの優先順位付けの両方が可能になります。PF ファイアウォールを使用するには、pkg:/network/firewall パッケージをインストールして、svc:/network/firewall:default サービスインスタンスを有効にします。
詳細は、pfctl(1M)、pf.conf(5)、および pf.os(5) のマニュアルページを参照してください。
Oracle Solaris 11.3 には、新しい読み取り専用ポリシー (file-mac-profile) である dynamic-zones が含まれています。このプロファイルにより、管理者は既存の fixed-configuration プロファイルと同様の利点を提供しつつ、不変大域ゾーン環境でカーネルゾーンおよび非大域ゾーンを作成および破棄できます。このプロファイルは、大域ゾーン (カーネルゾーンの大域ゾーンを含む) に対してのみ有効です。