Esta seção descreve os recursos de segurança e conformidade desta versão. Esses novos recursos impedem novas ameaças por meio de proteção antimalware e permitem atender os requisitos de conformidade mais restritivos.
A nova geração da plataforma SPARC oferece novos recursos de hardware e software codesenvolvidos que permitem a execução dos aplicativos com os níveis mais altos de segurança, confiabilidade e velocidade. Essa funcionalidade é conhecida como tecnologia "Software in Silicon" da Oracle. O Oracle Solaris 11.3 introduz um importante recurso da tecnologia Software in Silicon denominado SSM (Silicon Secured Memory). A SSM detecta erros comuns de acesso à memória, incluindo estouros de buffer, erros de acesso à memória liberada ou não alocada, erros de acesso à memória de "dupla liberação" (double free memory) e erros de acesso à memória com ponteiro desatualizado. Com a SSM ativada, um erro poderá ser gerado se um aplicativo tentar acessar uma memória à qual não deve ter acesso. Como a SSM é uma implementação de hardware, ela acarreta um overhead mínimo e pode ser usada em produção para detectar possíveis problemas de memória. Você pode usar a SSM durante o desenvolvimento de aplicativos para garantir que esses erros sejam detectados durante o teste e a certificação dos aplicativos.
O Oracle Solaris 11.3 oferece suporte a SSM tanto para aplicativos quanto para ferramentas de observabilidade. Por exemplo, agora os aplicativos e os administradores podem controlar a ativação ou a desativação da SSM para começar a proteger o acesso à memória. Uma vez ativada, a SSM será monitorada de forma transparente pelo Oracle Solaris. Com o objetivo de monitorar a SSM, o Oracle Solaris 11.3 inclui novas extensões para o comando mdb e o recurso DTrace.
Para obter mais informações sobre a tecnologia Software in Silicon, consulte: http://www.oracle.com/technetwork/server-storage/softwareinsilicon/index.html.
O Oracle Solaris 11.3 suporta assinaturas hash MD5, que permitem a autenticação de pacotes TCP e garantem sua integridade. Agora os protocolos baseados em TCP que não podem usar IPsec ou que não são capazes de autenticar pacotes TCP entre hosts podem configurar chaves e usar essas assinaturas hash MD5 nos pacotes TCP. A assinatura hash MD5 destina-se principalmente ao BGP (Border Gateway Protocol). Observe que há uma problema de desempenho associado à assinatura de cada pacote.
Para obter mais informações, consulte a página man tcpkey(1M).
Agora o Oracle Solaris Verified Boot oferece suporte a Oracle Solaris Kernel Zones. Esse recurso anti-malware e de integridade reduz o risco de entrada de componentes críticos de inicialização e do kernel maliciosos ou modificados acidentalmente. Esse recurso verifica as assinaturas de criptografia do firmware, do sistema de inicialização, do kernel e dos módulos do kernel.
As três opções de política são ignore, warn and continue e refuse to load the component.
Para obter mais informações, consulte a página man zonecfg(1M). Você também pode consultar Securing Systems and Attached Devices in Oracle Solaris 11.3 e Creating and Using Oracle Solaris Kernel Zones.
Agora o Oracle Solaris 11.3 oferece várias opções de implementações SSH. Uma nova implementação do OpenSSH baseada no OpenSSH 6.5pl coexiste com o SunSSH. Você pode escolher qualquer uma das implementações, usando o mecanismo pkg mediator. A implementação SSH padrão é o SunSSH.
Para alternar entre elas, execute os seguintes comandos:
# pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh # pkg install network/openssh # pkg mediator -a ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh vendor vendor sunssh ssh system system openssh # pkg set-mediator -I openssh ssh # pkg mediator ssh MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION ssh system local openssh
Os pacotes SSH foram refatorados para simplificar a transição entre as implementações SSH.
Para obter mais informações, consulte Managing Secure Shell Access in Oracle Solaris 11.3.
Um novo recurso do Oracle Solaris 11.3 oferece proteção opcional do ambiente de inicialização em um sistema compartilhado. Ele também permite que o menu GRUB tenha uma opção de proteção de senha para carregamento do menu, bem como para a modificação e a inicialização de entradas do menu.
Para obter mais informações, consulte a página man bootadm(1M). Você também pode consultar Diretrizes de Proteção e Segurança do Oracle Solaris 11.
O Oracle Solaris 11.3 permite aprimorar o conjunto de benchmarks usados na avaliação da conformidade de segurança. Esse recurso possibilita uma melhor adequação às políticas de segurança locais sem modificar o benchmark de base. Agora o comando compliance inclui um subcomando tailor e uma nova interface interativa para suportar a criação de personalizações, permitindo a inclusão ou a exclusão individual das regras de benchmark usadas para avaliar um sistema.
O exemplo a seguir mostra como você criaria uma nova personalização chamada mytailoring que adiciona duas regras ao perfil Baseline no benchmark do Oracle Solaris.
# compliance tailor -t mytailoring tailoring: No existing tailoring: ’mytailoring’, initializing tailoring:mytailoring> set benchmark=solaris tailoring:mytailoring> set profile=Baseline tailoring:mytailoring> include rule=OSC-47501 tailoring:mytailoring> include rule=OSC-49501 tailoring:mytailoring> export set tailoring=mytailoring # version=2014-11-29T04:16:39.000+00:00 set benchmark=solaris set profile=Baseline # Passwords require at least one digit include OSC-47501 # Passwords require at least one uppercase character include OSC-49501 tailoring:mytailoring> exit
Para obter mais informações, consulte a página man compliance-tailor(1M).
O Oracle Solaris 11.3 inclui o firewall OpenBSD 5.5 PF (Packet Filter) para filtragem do tráfego TCP/IP. O PF oferece uma alternativa ao IPF (IP Filter) já incluído no Oracle Solaris, permitindo o gerenciamento de largura de banda e a priorização de pacotes. Para usar o firewall PF, instale o pacote pkg:/network/firewall e ative a instância do serviço svc:/network/firewall:default .
Para obter mais informações, consulte as páginas man pfctl(1M), pf.conf(5) e pf.os(5).
O Oracle Solaris 11.3 inclui uma nova política somente leitura (file-mac-profile), dynamic-zones. Esse perfil permite que os administradores criem e destruam zonas do kernel e zonas não globais em um ambiente de zona global imutável, oferecendo, ainda, benefícios semelhantes aos do perfil fixed-configuration existente. Esse perfil é válido somente para a zona global, que inclui a zona global de uma zona do kernel.