このセクションでは、既存のお客様のために、このリリースに含まれる重要なセキュリティーの新機能について説明します。
Oracle Solaris は、GRUB メニューのパスワードを保護します。詳細は、Oracle Solaris 11.3 システムのブートとシャットダウン の GRUB メニューのパスワード保護を参照してください。
TPM が SP/SPP ボード上に存在する SPARC マルチドメインシリーズサーバーでは、TPM はスペアボードにフェイルオーバーできます。詳細は、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の TPM フェイルオーバーオプションを参照してください。
検証済みブートを使用すると、カーネルゾーンのブートプロセスをセキュリティー保護できます。検証済みブートは、Oracle Solaris カーネルモジュールを実行前にセキュアにロードすることで、破損したカーネルゾーンモジュール、悪意のあるプログラム、および未承認のサードパーティーカーネルモジュールのインストールからカーネルゾーンを保護します。詳細は、Oracle Solaris カーネルゾーンの作成と使用 の ベリファイドブートを使用した Oracle Solaris カーネルゾーンのセキュリティー保護を参照してください。
SPARC および x86 プラットフォーム上のゾーンのライブ移行を暗号化できます。セキュアなライブ移行と呼ばれる、暗号化されたライブ移行がデフォルトです。詳細は、Oracle Solaris カーネルゾーンの作成と使用 の セキュアなライブ移行についてを参照してください。
デスクトップセッションに最初にログインすると、ダイアログボックスによって最終ログインの時間と場所が通知されます。承認されていないログインが発生していた場合、この通知は適切なセキュリティー対策であり、さまざまなセキュリティーポリシーによって一般的に必要とされています。詳細は、pam_unix_session(5) のマニュアルページを参照してください。
暗号化されたパスワード、または pwhash コマンドを使用してパスワードハッシュを作成できます。その後、自動インストール (AI) での初期のブートシーケンス中にパスワードを指定できます。また、–p オプションを使用して passwd コマンドにハッシュを渡すこともできます。pwhash(1) および passwd(1) のマニュアルページと、Oracle Solaris 11.3 システムのインストール の root アカウントとユーザーアカウントの構成を参照してください。
変数値を使用してコーディングされたコンプライアンス規則を使用すると、サイトのセキュリティー要件を満たす正確な値をチェックする規則を含むテーラリングを作成できます。Oracle Solaris 11.3 セキュリティーコンプライアンスガイド の コンプライアンス規則内の変数の代替値の選択および compliance-tailor(1M) のマニュアルページを参照してください。
コンプライアンス評価が定期的に実行されるようにスケジュールできます。この機能は、デフォルトでは無効になっています。Oracle Solaris 11.3 セキュリティーコンプライアンスガイド の 評価の定期的な実行および compliance(1M) のマニュアルページを参照してください。
実行可能ファイルのスタック破損からの保護は、これまでの /etc/system ファイルに設定された no_exec_userstack システム変数に代わり、Oracle Solaris のセキュリティー拡張機能になりました。nxstack セキュリティー拡張機能は、デフォルトで設定されます。さらに、nxheap セキュリティー拡張機能は、ヒープの破損から保護します。詳細は、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の 悪影響からのプロセスヒープと実行可能スタックの保護を参照してください。
暗号化フレームワークには、Camellia アルゴリズムが含まれるようになりました。Camellia がサポートするメカニズムを表示するには、cryptoadm list -m | grep camellia コマンドを実行します。SPARC T4 シリーズサーバーでは、このアルゴリズムのためのハードウェアアクセラレーションを提供します。
カーネル SSL プロキシは SSLv3 をサポートしますが、デフォルトでは無効になっています。Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の SSL カーネルプロキシ は Web サーバー通信を暗号化するを参照してください。
パケットフィルタは、ポリシーベースのルーティング (PBR) をサポートしています。詳細は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の パケットフィルタ規則のオプションのアクションにある route-to の説明を参照してください。
別個の中央署名サービスといった外部メカニズムを使用してプロバイダを署名するために、elfsign ユーティリティーを使用できます。詳細は、Oracle Solaris 11.3 での暗号化と証明書の管理 の 外部署名のための Elfsign サポートおよび elfsign(1) のマニュアルページを参照してください。
pktool gencsr コマンドでは、標準の PKCS #10: Certification Request Syntax Specification (http://www.ietf.org/rfc/rfc2986.txt) に従わない認証局用の証明書を作成できるようになりました。pktool(1) のマニュアルページを参照してください。
Oracle Solaris は、Secure Shell の openssh 実装を提供しています。この OpenSSH 実装は、OpenSSH 6.5p1 および追加機能に基づいて構築されています。デフォルトは引き続き sunssh 実装です。2 つの実装間を切り替えるには、pkg mediator コマンドを使用します。詳細は、Oracle Solaris 11.3 での Secure Shell アクセスの管理 の 第 1 章, Secure Shell の使用を参照してください。
IPsec および IKEv2 への移行に役立つように、Oracle Solaris では pass アクションと ike_version オプションが提供されています。pass アクションを使用すると、サーバーが IPsec クライアントおよび IPsec 以外のクライアントをサポートでき、ike_version オプションを使用すると、IPsec のポリシールールが使用する必要がある IKE プロトコルのバージョンを指定できます。このオプションを使用すると、ネットワークで 2 つのバージョンの IKE プロトコルが実行可能となり、サポートできるシステムでのみ新しい IKE プロトコルが必要となります。詳細および例へのリンクについては、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の Oracle Solaris 11.3 のネットワークセキュリティーの新機能を参照してください。
Oracle Solaris は、追加のファイアウォールオプションである OpenBSD Packet Filter を提供しています。詳細は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 4 章, Oracle Solaris での OpenBSD パケットフィルタファイアウォールを参照してください。
既存のベンチマークのバージョンまたはテーラリングを作成できます。テーラリングは、評価からエラーや誤検出を取り除くことで、特定システムのセキュリティー状況を正確に評価できます。詳細は、Oracle Solaris 11.3 セキュリティーコンプライアンスガイドおよび compliance(1M) と compliance-tailor(1M) のマニュアルページを参照してください。
Oracle Solaris には、システムを、共通脆弱性 (CVE) を修復する最新のクリティカルパッチアップデートに更新できるようにするための pkg:/support/critical-patch-update/solaris-11-cpu パッケージが用意されています。Oracle Solaris 11.3 セキュリティーコンプライアンスガイド の Oracle Solaris での CVE アップデートの管理およびOracle Solaris 11.3 ソフトウェアの追加と更新 の サポート更新の適用を参照してください。
dax_access 特権により、Oracle Database 12c に対し、SPARC M7 シリーズおよび SPARC T7 シリーズサーバーの DAX コプロセッサでのデータ分析が高速化されます。この特権が与えられたデータベースは、クエリー処理の部分をサーバーハードウェアにオフロードできます。