本節說明本發行版本的安全與規範功能。透過防惡意軟體的保護,這些新功能不但可協助避免系統遭受新的威脅,還能夠讓您實行最嚴格的安全規範。
下一代 SPARC 平台提供了融合硬體與軟體的新功能,能夠讓應用程式以最高等級的安全性、可靠性和速度運作。這項功能就是 Oracle 的 "Software in Silicon"。Oracle Solaris 11.3 導入了一個重要的 Software in Silicon 功能,稱之為「矽晶片保護的記憶體 (SSM)」。SSM 會偵測常見的記憶體存取錯誤,包括緩衝區溢位、未配置或釋出的記憶體存取錯誤、「重複釋出」的記憶體存取錯誤,以及過時指標的記憶體存取錯誤。SSM 啟用時,如果應用程式嘗試存取不允許存取的記憶體,就可能會發出錯誤訊息。由於 SSM 是硬體實作,因此所造成的負荷甚低,可用來在生產環境中偵測潛在的記憶體損毀問題。您可以在進行應用程式開發時使用 SSM,以確保能夠在應用程式測試及認證時發現上述錯誤。
Oracle Solaris 11.3 在應用程式和觀察工具中均提供 SSM 支援。例如,應用程式和管理員現可控制在開始進行記憶體存取防護時要啟用還是停用 SSM。一旦啟用,SSM 即交由 Oracle Solaris 處理。為了監督 SSM,Oracle Solaris 11.3 納入了 mdb 和 DTrace 的新擴充功能。
如需關於 Software in Silicon 的詳細資訊,請參閱:http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html。
Oracle Solaris 11.3 支援的 MD5 雜湊簽名可以認證 TCP 封包並確保封包的完整性。以 TCP 為基礎的協定如果無法使用 IPsec 或沒有能力認證主機之間的 TCP 封包,現在可以於 TCP 封包上設定金鑰並使用這些 MD5 雜湊簽名。MD5 雜湊簽名主要用於邊界閘道協定 (BGP)。請注意,簽署每一個封包都會導致性能下降。
如需詳細資訊,請參閱 tcpkey(1M) 線上手冊。
Oracle Solaris Verified Boot 現已支援 Oracle Solaris Kernel Zones。這項防惡意軟體的整合性功能,可減少遭惡意元件侵害或不小心修改重要啟動與核心元件的風險。這項功能會檢查韌體、開機系統以及核心與核心模組的加密簽名。
三個原則選項為 ignore、warn and continue 以及 refuse to load the component。
如需詳細資訊,請參閱 zonecfg(1M) 線上手冊。另請參閱Securing Systems and Attached Devices in Oracle Solaris 11.3和Creating and Using Oracle Solaris Kernel Zones。
Oracle Solaris 11.3 現在提供 SSH 實作的選擇。以 OpenSSH 6.5pl 為基礎的新 OpenSSH 實作會與 SunSSH 並存。您可以使用 pkg mediator 機制從兩者中選擇一個來使用。預設的 SSH 實作是 SunSSH。
若要在兩者之間切換,您必須執行下列命令:
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
SSH 套裝軟體已經過重製,可讓 SSH 實作之間的轉換更為順暢。
如需詳細資訊,請參閱Managing Secure Shell Access in Oracle Solaris 11.3。
Oracle Solaris 11.3 在共用系統中加入選擇性的啟動環境保護功能。GRUB 功能表中目前提供功能表載入、功能表項目修改以及功能表項目啟動的密碼保護選項。
如需詳細資訊,請參閱 bootadm(1M) 線上手冊。另請參閱Oracle Solaris 11 安全性與強化防護準則。
Oracle Solaris 11.3 中新增的功能可重新定義評估安全規範時所使用的基準。這項功能可讓您在不修改基礎基準的情況下更加符合本機安全原則。compliance 命令現在納入了 tailor 子命令和新的互動式介面以支援建立裁適性評估,並可讓您加入或排除評估系統所需使用的基準規則。
下列範例顯示如何在 Oracle Solaris 基準的「基本」設定檔中加入兩項額外規則,建立一個名為 mytailoring 的新裁適性評估。
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
如需詳細資訊,請參閱 compliance-tailor(1M) 線上手冊。
Oracle Solaris 11.3 內含用以篩選 TCP/IP 流量的 OpenBSD 5.5 封包篩選器 (PF) 防火牆。PF 可作為 Oracle Solaris 現有 IP 篩選器 (IPF) 的替代選項,提供頻寬管理和封包優先順序的功能。若要使用 PF 防火牆,您必須安裝 pkg:/network/firewall 套裝軟體並啟用 svc:/network/firewall:default 服務實例。
如需詳細資訊,請參閱 pfctl(1M)、pf.conf(5) 以及 pf.os(5) 線上手冊。
Oracle Solaris 11.3 納入了新的唯讀原則 (file-mac-profile) dynamic-zones。此設定檔可讓管理員在不可變全域區域環境中建立和銷毀核心區域及非全域區域,並提供類似於現有 fixed-configuration 設定檔的優點。此設定檔僅對核心區域有效 (包括核心區域的全域區域)。