이 절에서는 해당 릴리스의 보안 및 준수 기능에 대해 설명합니다. 이러한 새 기능은 맬웨어 방지 보호를 통해 새로운 위협을 막고 가장 엄격한 준수 의무를 충족할 수 있도록 합니다.
차세대 SPARC 플랫폼은 응용 프로그램을 가장 높은 레벨의 보안, 안정성 및 속도로 실행할 수 있도록 새롭게 공동 엔지니어링된 하드웨어와 소프트웨어 기능을 제공합니다. 이 기능을 Oracle의 "Software in Silicon"이라고 합니다. Oracle Solaris 11.3에는 SSM(Silicon Secured Memory)이라는 핵심 Software in Silicon 기능이 도입되었습니다. SSM은 버퍼 오버플로우, 미할당되거나 해제된 메모리 액세스 오류, “double free” 메모리 액세스 오류, 사용되지 않는 포인터 메모리 액세스 오류 등과 같은 일반적인 메모리 액세스 오류를 감지합니다. SSM이 사용으로 설정되면 응용 프로그램이 액세스하지 말아야 하는 메모리에 액세스를 시도할 경우 오류가 발생할 수 있습니다. SSM은 하드웨어 구현이므로 최소한의 오버헤드를 유발하며 운용 환경에서 잠재적인 메모리 손상 문제를 감지하는 데 사용할 수 있습니다. SSM을 응용 프로그램 개발 중 사용하면 응용 프로그램 테스트 및 인증 과정에서 이러한 오류를 찾아낼 수 있습니다.
Oracle Solaris 11.3은 응용 프로그램 및 감시 도구 모두에 대해 SSM을 지원합니다. 예를 들어, 응용 프로그램 및 관리자는 이제 SSM 사용/사용 안함으로 설정을 제어하여 메모리 액세스 보호를 시작할 수 있습니다. 사용으로 설정되면 SSM은 Oracle Solaris에 의해 투명하게 처리됩니다. SSM을 모니터하기 위해 Oracle Solaris 11.3에는 mdb 및 DTrace에 대한 새로운 확장 기능이 도입되었습니다.
Software in Silicon에 대한 자세한 내용은 http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html을 참조하십시오.
Oracle Solaris 11.3은 TCP 패킷 인증을 가능하게 하고 무결성을 보호하는 MD5 해시 서명을 지원합니다. IPsec을 사용할 수 없거나 호스트 사이에 TCP 패킷을 인증할 수 없는 TCP 기반 프로토콜에서 이제 키를 설정하고 TCP 패킷에서 이러한 MD5 해시 서명을 사용할 수 있습니다. MD5 해시 서명은 BGP(border gateway protocol)에 주로 사용하도록 고안되었습니다. 각 패킷 서명과 연관된 성능 저하가 있을 수 있습니다.
자세한 내용은 tcpkey(1M) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 확인된 부트에서 이제 Oracle Solaris 커널 영역에 대한 지원을 제공합니다. 이 맬웨어 방지 및 무결성 기능은 악의적으로 또는 실수로 수정된 중요 부트 및 커널 구성 요소가 도입되는 위험을 줄여줍니다. 이 기능은 펌웨어, 부트 시스템, 커널 및 커널 모듈의 암호화 서명을 확인합니다.
세 가지 정책 옵션은 ignore, warn and continue 및 refuse to load the component입니다.
자세한 내용은 zonecfg(1M) 매뉴얼 페이지를 참조하십시오. 또한 Oracle Solaris 11.3에서 시스템 및 연결된 장치의 보안 및 Oracle Solaris 커널 영역 만들기 및 사용을 참조하십시오.
Oracle Solaris 11.3은 이제 SSH 구현에 대한 선택권을 제공합니다. OpenSSH 6.5pl 기반의 새 OpenSSH 구현은 SunSSH와 함께 존재합니다. pkg mediator 방식을 사용하여 구현 중 하나를 선택할 수 있습니다. 기본 SSH 구현은 SunSSH입니다.
둘 사이를 전환하려면 다음 명령을 실행합니다.
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
SSH 패키지는 SSH 구현 사이에 더욱 원활한 전환을 제공하기 위해 재생성되었습니다.
자세한 내용은 Oracle Solaris 11.3의 보안 셸 액세스 관리를 참조하십시오.
Oracle Solaris 11.3은 공유 시스템에서 선택적 부트 환경 보호를 추가하는 기능을 제공합니다. 또한 GRUB 메뉴에서 메뉴 로드, 메뉴 항목 수정 및 메뉴 항목 부트를 위한 암호 보호 옵션이 가능합니다.
자세한 내용은 bootadm(1M) 매뉴얼 페이지를 참조하십시오. 또한 Oracle Solaris 11 보안 및 강화 지침를 참조하십시오.
Oracle Solaris 11.3은 보안 준수 평가에 사용되는 벤치마크 세트를 세분화할 수 있는 기능을 추가합니다. 이 기능을 통해 기본 벤치마크 자체를 수정하지 않고도 로컬 보안 정책에 더 잘 맞출 수 있습니다. 이제 compliance 명령에 tailor 하위 명령 및 테일러링 만들기를 지원하기 위한 새로운 대화식 인터페이스가 포함되어 시스템 평가에 사용되는 벤치마크 규칙의 개별적 포함 또는 제외가 가능합니다.
다음 예는 Oracle Solaris 벤치마크의 Baseline 프로파일에 두 가지 추가 규칙을 추가하는 mytailoring이라는 새로운 테일러링을 만드는 방법을 보여줍니다.
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
자세한 내용은 compliance-tailor(1M) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 11.3에는 TCP/IP 트래픽 필터링을 위한 OpenBSD 5.5 패킷 필터(PF) 방화벽이 포함됩니다. PF는 Oracle Solaris에 이미 포함된 기존 IP 필터(IPF)에 대한 대안을 제공하며, 둘 다 대역폭 관리 및 패킷 우선 순위 지정이 가능합니다. PF 방화벽을 사용하려면 pkg:/network/firewall 패키지를 설치하고 svc:/network/firewall:default 서비스 인스턴스를 사용으로 설정합니다.
자세한 내용은 pfctl(1M), pf.conf(5) 및 pf.os(5) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 11.3에는 새로운 읽기 전용 정책(file-mac-profile), dynamic-zones가 포함됩니다. 이 프로파일은 기존 fixed-configuration 프로파일과 유사한 이점을 그대로 제공하면서 관리자는 변경할 수 없는 전역 영역 환경에서 커널 영역 및 비전역 영역을 만들고 삭제할 수 있습니다. 이 프로파일은 커널 영역의 전역 영역을 포함한 전역 영역에만 유효합니다.