本节介绍本发行版中的安全性和遵从性功能。这些新功能通过反恶意软件保护帮助防御新威胁,并使您能够满足最严格的遵从性要求。
新一代 SPARC 平台提供了新增的、联合设计的硬件和软件功能,使应用程序能够以最高级别的安全性、可靠性和速度运行。此功能称为 Oracle 的 "Software in Silicon"。Oracle Solaris 11.3 引入了称为 Silicon 安全内存 (Silicon Secured Memory, SSM) 的重要软件芯片化 (Software in Silicon) 功能。SSM 检测常见的内存访问错误,包括缓冲区溢出、未分配的或者已释放的内存访问错误、“双重释放”内存访问错误和陈旧指针内存访问错误。启用 SSM 后,如果应用程序尝试访问它不应访问的内存,则很可能会引发错误。由于 SSM 是硬件实现,因此它产生的开销很小,可在生产中使用以检测潜在的内存损坏问题。在应用程序开发期间可以使用 SSM,以确保在应用程序测试和认证期间捕获此类错误。
对于应用程序和可观察性工具,Oracle Solaris 11.3 均支持 SSM。例如,应用程序和管理员现在可以控制 SSM 的启用或禁用以着手保护内存访问。启用后,SSM 就会由 Oracle Solaris 透明地处理。为了监视 SSM,Oracle Solaris 11.3 包含用于 mdb 和 DTrace 的新扩展。
有关软件芯片化的更多信息,请参见 http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html。
Oracle Solaris 11.3 支持 MD5 散列签名,这样就能够验证 TCP 数据包并确保其完整性。无法使用 IPsec 或者无法在主机之间验证 TCP 数据包的基于 TCP 的协议现在可以设置密钥,并在 TCP 数据包上使用这些 MD5 散列签名。MD5 散列签名主要用于边界网关协议 (Border Gateway Protocol, BGP)。请注意,存在与签署每个数据包关联的性能损失。
有关更多信息,请参见 tcpkey(1M) 手册页。
Oracle Solaris 验证引导现在提供对 Oracle Solaris 内核区域的支持。此反恶意软件和完整性功能降低了引入恶意的或者意外修改的关键引导和内核组件的风险。此功能对固件、引导系统以及内核和内核模块的加密签名进行验证。
三个策略选项分别为 ignore、warn and continue 和 refuse to load the component。
有关更多信息,请参见 zonecfg(1M) 手册页。另请参见在 Oracle Solaris 11.3 中确保系统和连接设备的安全和创建和使用 Oracle Solaris 内核区域。
Oracle Solaris 11.3 现在提供了可供选择的 SSH 实现。基于 OpenSSH 6.5pl 的新 OpenSSH 实现与 SunSSH 共存。使用 pkg mediator 机制,可以选择任一实现。缺省 SSH 实现是 SunSSH。
要在它们之间切换,请运行以下命令:
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
SSH 软件包已重构以在 SSH 实现之间提供更为平滑的转换。
有关更多信息,请参见在 Oracle Solaris 11.3 中管理安全 Shell 访问。
Oracle Solaris 11.3 提供了在共享系统中添加可选引导环境保护的功能。它还允许 GRUB 菜单具有针对菜单装入、菜单项修改和菜单项引导的口令保护选项。
有关更多信息,请参见 bootadm(1M) 手册页。另请参见Oracle Solaris 11 安全和强化准则。
Oracle Solaris 11.3 增加了完善访问安全遵从性时使用的一组基准的功能。通过此功能,可以更好地与本地安全策略匹配,而不必修改基础基准本身。compliance 命令现在包括 tailor 子命令和一个新的交互接口,以支持定制的创建,支持用于评估系统的基准规则的单独包含或排除。
以下示例说明如何将两个其他规则添加到 Oracle Solaris 基准中的基线配置文件创建名为 mytailoring 的新定制。
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
有关更多信息,请参见 compliance-tailor(1M) 手册页。
Oracle Solaris 11.3 包括 OpenBSD 5.5 数据包过滤器 (Packet Filter, PF) 防火墙以过滤 TCP/IP 通信。PF 提供了 Oracle Solaris 中已包括的现有 IP 过滤器 (IP Filter, IPF) 的替代,同时启用带宽管理和数据包的优化级设置。要使用 PF 防火墙,请安装 pkg:/network/firewall 软件包并启用 svc:/network/firewall:default 服务实例。
有关更多信息,请参见 pfctl(1M)、pf.conf(5) 和 pf.os(5) 手册页。
Oracle Solaris 11.3 包括新的只读策略 (file-mac-profile) dynamic-zones。此配置文件使管理员能够在不可编辑的全局区域环境中创建和销毁内核区域和非全局区域,同时仍提供与现有 fixed-configuration 配置文件类似的优势。此配置文件仅对全局区域有效,这包括内核区域的全局区域。