次の重要なセキュリティーの変更点があります。
アドレス空間レイアウトのランダム化 (ASLR) – Oracle Solaris 11.1 以降、ASLR は、ある特定のバイナリで使用されるアドレスをランダム化します。ASLR は、ある一定のメモリー範囲の正確な場所の把握に基づいた特定の種類の攻撃を失敗させ、その企てによって実行可能ファイルが停止する可能性が高い場合に検出します。ASLR を構成するには、sxadm コマンドを使用します。バイナリ上のタグを変更するには、elfedit コマンドを使用します。sxadm(1M) および elfedit(1)を参照してください。
管理エディタ – pfedit コマンドを使用するとシステムファイルを編集できます。システム管理者によって定義された場合、このエディタの値は $EDITOR です。定義されていない場合、エディタのデフォルトは vi コマンドに設定されます。次のようにエディタを起動します。
$ pfedit system-filename
このリリースでは、監査がデフォルトでオンになっています。セキュアなシステムの場合、管理アクションの監査がオンになっているときは常に監査されるインタフェースを使用します。pfedit の使用は常に監査されるため、システムファイル編集用のコマンドとして推奨されます。pfedit(1M) およびOracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の第 3 章システムアクセスの制御を参照してください。
監査 – 監査は Oracle Solaris 11 のサービスであり、デフォルトで有効になっています。このサービスを無効または有効にするときにリブートは必要ありません。auditconfig コマンドを使用して監査ポリシーに関する情報を表示し、監査ポリシーを変更します。公開オブジェクトの監査によって、監査トレール内に生成されるノイズが減少します。また、カーネル以外のイベントの監査は、パフォーマンスにまったく影響しません。
監査ファイル用の ZFS ファイルシステムの作成については、Oracle Solaris 11.3 での監査の管理 の監査ファイルのための ZFS ファイルシステムを作成する方法を参照してください。
監査リモートサーバー (ARS) – ARS は、監査中かつアクティブな audit_remote プラグインで構成されているシステムから監査レコードを受信して格納する機能です。監査対象のシステムは、ARS と区別するため、ローカルで監査されるシステムと呼ばれることがあります。–setremote オプションに関する情報については、auditconfig(1M) を参照してください。
コンプライアンス評価 - compliance コマンドを使用して、ほかのタイプのコンプライアンス要件に照らして、特定のセキュリティーポリシーやベンチマークへのコンプライアンス評価とコンプライアンスのガイド修正を自動化します。Oracle Solaris 11.3 セキュリティーコンプライアンスガイド および compliance(1M) を参照してください。
基本監査報告機能 (BART) – BART によって使用されるデフォルトのハッシュは MD5 ではなく SHA256 です。SHA256 がデフォルトになっているのに加え、ハッシュアルゴリズムを選択することもできます。Oracle Solaris 11.3 でのファイルのセキュリティー保護とファイル整合性の検証 の第 2 章BART を使用したファイル整合性の検証を参照してください。
cryptoadm コマンドの変更点 – Oracle Solaris カーネル構成をより簡単にパッケージングするための /etc/system.d ディレクトリ実装の一部として、以前のリリースでの /etc/system ファイルではなく、このディレクトリ内のファイルに書き込むように cryptoadm コマンドも更新されました。cryptoadm(1M) を参照してください。
暗号化フレームワーク – この機能には、Intel および SPARC T4 ハードウェアアクセラレーション用のアルゴリズム、メカニズム、プラグイン、およびサポートがさらに追加されました。また、Oracle Solaris 11 は NSA Suite B 暗号方式ともより密接に連携しています。フレームワークのアルゴリズムの多くは、SSE2 命令セットを備えた x86 プラットフォーム用に最適化されます。T シリーズの最適化に関する詳細は、Oracle Solaris 11.3 での暗号化と証明書の管理 の暗号化フレームワークと SPARC T シリーズサーバーを参照してください。
dtrace コマンドの変更点 – Oracle Solaris カーネル構成をより簡単にパッケージングするための /etc/system.d ディレクトリの実装の一部として、以前のリリースでの /etc/system ファイルではなく、このディレクトリ内のファイルに書き込むように dtrace コマンドも更新されました。dtrace(1M) を参照してください。
FIPS 140-2 Level 1 暗号化 – FIPS 140 モードで動作しているシステムは、FIPS 140 暗号化の少なくとも 1 つのプロバイダが有効にされています。一部のアプリケーションは自動的に、passwd コマンドなどの FIPS 140 暗号化を使用します。ほかのアプリケーションには、FIPS 140 モードで有効にする必要があるもの (SSH など)、それらのプロバイダが有効になっていて、かつそのアプリケーションが FIPS 140 暗号化を使用している場合にのみ FIPS 140 モードで動作するもの (Kerberos、IPsec、Apache Web Server など) があります。詳細は、Oracle Solaris 11.3 での FIPS 140 対応システムの使用 を参照してください。
Kerberos DTrace プロバイダ – Kerberos メッセージ (Protocol Data Unit) 用のプローブを提供する新しい DTrace USDT プロバイダが追加されました。それらのプローブは、RFC 4120 に記述されている Kerberos メッセージタイプのあとにモデル化されます。
鍵管理の機能拡張:
Trusted Platform Module の RSA 鍵に対する PKCS#11 キーストアのサポート
集中型エンタープライズ鍵管理用の Oracle Key Manager への PKCS#11 アクセス
lofi コマンドの変更点 – lofi コマンドは、このリリースではブロック型デバイスの暗号化をサポートします。lofi(7D) を参照してください。
nxheap および nxstack セキュリティー拡張 – nxheap および nxstack セキュリティー拡張を使用して、体系的にすべての Oracle Solaris プロセスのスタックとヒープを実行不可能にします。nxstack セキュリティー拡張は、noexec_user_stack システム変数を置き換えます。詳細は、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の悪影響からのプロセスヒープと実行可能スタックの保護を参照してください。
profiles コマンドの変更点 – Oracle Solaris 10 では、このコマンドは特定ユーザーまたは役割に関するプロファイル、または特定コマンドに対するユーザーの特権を一覧表示するために使用されるだけです。Oracle Solaris 11 以降、profiles コマンドを使用して、ファイルおよび LDAP のプロファイルを作成および変更できます (profiles(1) を参照)。
rstchown プロパティー – 以前のリリースで chown 操作を制限するために使用されるチューニング可能パラメータ rstchown は、ZFS ファイルシステムプロパティーになり、一般的なファイルシステムマウントオプションでもあります。Oracle Solaris 11.2 での ZFS ファイルシステムの管理 および mount(1M) を参照してください。
この廃止されたパラメータを /etc/system ファイルに設定しようとすると、次のメッセージが表示されます:
sorry, variable 'rstchown' is not defined in the 'kernel'
sudo コマンド - このコマンドは、ほかのコマンドを実行しているときに Oracle Solaris 監査レコードを生成します。また、このコマンドは、sudoers コマンドのエントリに NOEXEC のタグが付けられている場合に proc_exec 基本特権を削除します。
ベリファイドブート -システムのブートプロセスをセキュリティー保護し、カーネルモジュールの破損、正当なカーネルモジュールとしてなり済ます悪意のあるプログラムの挿入や置換のほか、サイトの変更を制御するポリシーに違反する可能性のあるサードパーティーモジュールの意図しないインストールなどの脅威,からシステムを保護します。Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 のベリファイドブートの使用を参照してください。
ZFS ファイルシステムの暗号化 – ZFS ファイルシステムの暗号化は、データをセキュリティー保護しておくために作られたものです。ZFS ファイルシステムの暗号化を参照してください。
次のネットワークセキュリティー機能がサポートされています。
インターネット鍵交換 (IKE) – IKE Version 2 (IKEv2) は、最新バージョンの IKE プロトコルを使用して IPsec 用の自動鍵管理を提供します。IKEv2 および IPsec は、Oracle Solaris の暗号化フレームワーク機能の暗号化アルゴリズムを使用します。IKEv2 にはより多くの Diffie-Hellman グループが含まれており、楕円曲線暗号 (ECC) グループを使用することもできます。
IKE と IPSec は最新のアルゴリズムメカニズムをサポートする - どちらの機能も暗号化フレームワークからの最新のアルゴリズムメカニズムを使用できます。また、このリリースでは Camellia を使用できます。Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の第 10 章インターネット鍵交換についてを参照してください。
IP セキュリティーアーキテクチャー (IPsec) – IPsec には AES-CCM および AES-GCM モードが含まれ、Oracle Solaris (Trusted Extensions) の Trusted Extensions 機能のネットワークトラフィックを保護できます。Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の第 8 章IP セキュリティーアーキテクチャーについてを参照してください。
IP フィルタファイアウォール – オープンソース IP フィルタ機能に似たこの機能は、互換性があり、管理可能で、SMF に高度に統合されます。この機能を使用すると、IP アドレスに基づいて、ポートを選択的に使えるようになります。
Kerberos – Kerberos は、このリリースではクライアントとサーバーの相互認証を行うことができます。また、X.509 証明書を PKINIT プロトコルで使用することによって初期認証もサポートされるようになりました。Oracle Solaris 11.3 での暗号化と証明書の管理 のOracle Solaris での OpenSSL のサポートを参照してください。
OpenSSL 1.0.1 – Oracle Solaris 11.2 以降、OpenSSL 1.0.1 がサポートされます。このバージョンの OpenSSL は、パフォーマンスまたは FIPS-140 へのコンプライアンスを選択できます。https://blogs.oracle.com/observatory/entry/openssl_on_solaris_11_2 を参照してください。
デフォルトでのセキュリティー保護 – デフォルトでのセキュリティー保護機能を使用して、いくつかのネットワークサービスを無効にして攻撃から保護し、ネットワークエクスポージャーを最小限に抑えます。Oracle Solaris 10 では、この機能が導入されましたが、デフォルトでオフにされ、OS のインストール中に有効にするか netservices limited コマンドを実行して有効にする必要がありました。Oracle Solaris 11 以降、この機能はデフォルトで有効にされ、システムへのリモートアクセスでは SSH のみが有効です。ほかのサービスのリモートアクセスを有効にするには、それぞれの固有のネットワークサービスのマニュアルページで手順を参照してください。
SSH – X.509 証明書の使用により、ホストおよびユーザー認証のサポートがサポートされています。
SSL カーネルプロキシ – TLS 1.0 および SSL 3.0 プロトコルをサポートしています。SSL 3.0 プロトコルはデフォルトで無効にされています。Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の第 3 章Web サーバーと Secure Sockets Layer プロトコルを参照してください。
次のプラグイン可能認証モジュール (PAM) の変更が導入されます。
ユーザー単位の PAM スタックを有効にするためのモジュール - 新しい pam_policy 鍵とともに使用すると、PAM 認証ポリシーをユーザー単位で構成できます (user_attr(4))。この例に示すように、デフォルトの pam.conf ファイルも、ユーザーの拡張属性内またはユーザーに割り当てられたプロファイル内で pam_policy を指定することによってこの機能を使用できるように更新されました。
# usermod -K pam_policy=krb5_only username
pam_user_policy(5)を参照してください。
/etc/pam.d 内の PAM 構成 – サービス単位のファイルを使用して PAM の構成のサポートを追加します。その結果、関連する PAM サービス名に基づき、/etc/pam.conf ファイルの内容が /etc/pam.d/ ディレクトリ内の複数のファイルに移行されました。このメカニズムが Oracle Solaris で PAM を構成するための正しい方法であり、すべての新規インストールに使用されるデフォルトの方法です。/etc/pam.conf ファイルは引き続き参照されるため、このファイルに加えられる既存または新しい変更は引き続き認識されます。
/etc/pam.conf ファイルを編集したことがない場合、ファイルには、/etc/pam.d/ ディレクトリ内のサービスごとのファイルについて案内するコメントのみが含まれます。たとえば LDAP または Kerberos を有効にするように /etc/pam.conf ファイルを編集した場合、加えた変更を含む /etc/pam.conf.new という名前の新しいファイルが提供されます。pam.conf(4) を参照してください。
pam.conf に追加された definitive フラグ – このリリースでは、pam.conf ファイルには definitive control_flag が含まれています。pam.conf(4) を参照してください。
次のセキュリティー機能は除外されています。
自動セキュリティー拡張ツール (ASET) – ASET 機能は、svc.ipfd、BART、SMF、セキュリティー準拠ツール (Oracle Solaris 11.2 以降) と、このリリースでサポートされているほかのセキュリティー機能を含む、IP フィルタの組み合わせによって置き換えられています。
スマートカード – スマートカードのサポートは中止になりました。