En esta sección, se describen las características de seguridad y conformidad nuevas de esta versión. Estas nuevas funciones ayudan a evitar nuevas amenazas a través de la protección contra malware y permiten cumplir con las obligaciones de conformidad más estrictas.
Los sandboxes son juegos de atributos de procesos con nombres únicos que se pueden usar para especificar requisitos de aislamiento de recursos y seguridad. En Oracle Solaris 11.4, puede ejecutar procesos que no sean de confianza en sandboxes temporales. Se pueden crear sandboxes persistentes y jerárquicos mediante el comando sandboxadm. Para ingresar tanto a los sandboxes persistentes como a los temporales, se puede usar el comando sandbox.
Los sandboxes son adecuados para restringir aplicaciones con privilegios o sin ellos. Los controles de mitigación de vulnerabilidades de seguridad mejorados que aprovechan la memoria de silicio protegida de SPARC protegen automáticamente las aplicaciones clave y el núcleo del sistema.
Para obtener más información, consulte Configuring Sandboxes for Project Isolation de Securing Users and Processes in Oracle Solaris 11.4 y las páginas del comando man sandboxing(7), sandbox(1) y sandboxadm(8).
Esta versión de Oracle Solaris admite la ejecución y el almacenamiento de informes de conformidad de manera remota y permite filtrar los informes según los metadatos.
Puede ejecutar y administrar informes de conformidad desde un sistema central y almacenarlos en un servidor común. Consulte el Capítulo 2, Centrally Managing Compliance Assessments de Oracle Solaris 11.4 Compliance Guide y la página del comando man compliance-roster(8).
Puede etiquetar evaluaciones de conformidad para identificación y filtrado. Consulte Using Metadata to Manage Assessments de Oracle Solaris 11.4 Compliance Guide y la sección Parámetros de coincidencia de la página del comando man compliance(8).
La referencia estándar para el comando compliance de Oracle Solaris incluye comprobaciones de Oracle Solaris Cluster. Las comprobaciones de Oracle Solaris Cluster se ejecutan solo cuando Oracle Solaris Cluster está instalado y configurado en el sistema.
Consulte la siguiente documentación para obtener información sobre referencias, perfiles, el comando compliance y las comprobaciones de conformidad de Oracle Solaris Cluster:
Página del comando man compliance(8)
What’s New in Compliance in Oracle Solaris 11.4 de Oracle Solaris 11.4 Compliance Guide
Directrices de seguridad de Oracle Solaris Cluster 4.4
La auditoría por archivo en Oracle Solaris 11.4 proporciona auditoría detallada y en el acceso de archivos y directorios específicos. Con esta característica, los administradores del sistema y la seguridad pueden escoger archivos específicos para auditar. Se puede acceder de una manera determinada a los archivos especificados, lo cual simplifica mucho la recopilación y el análisis de los datos de auditoría.
Por ejemplo:
# chmod A+everyone@:write_data/read_data:successful_access/failed_access:audit /data/db1
Esta ACE de auditoría garantiza que se genere un registro de auditoría de todas las operaciones de lectura o escritura, tanto las de acceso permitido como las de acceso denegado, realizadas por cualquier usuario del sistema en el archivo /data/db1. También se pueden agregar ACE de auditoría para cambios de metadatos.
Para obtener más información, consulte What’s New in the Audit Service in Oracle Solaris 11.4 de Managing Auditing in Oracle Solaris 11.4.
En Oracle Solaris 11.4, esta nueva característica le permite generar registros de auditoría para indicar los resultados de la verificación de la firma de los módulos del núcleo. La característica comprueba el valor boot_policy del inicio verificado cuando se inicia Oracle Solaris 11.4 y muestra el valor en un registro de auditoría del evento AUE_SYSTEMBOOT. Si el inicio verificado está activado con la propiedad boot_policy configurada como warning o enforce, la auditoría de Oracle Solaris produce eventos de auditoría AUE_MODLOAD si se produce un error de verificación de firma elfsign cuando se debe cargar un módulo. Con el inicio verificado activado, puede realizar un seguimiento de eventos de módulos del núcleo que tienen firmas no válidas o firmas que no se cargaron en el sistema.
Para obtener más información, consulte New Feature – Auditing Verified Boot de Managing Auditing in Oracle Solaris 11.4.
Oracle Solaris 11.4 introduce la utilidad admhist, que se usa para proporcionar, en un formato útil y fácil de entender, un resumen de eventos relacionados con la administración del sistema que se ejecutaron en el sistema. La utilidad admhist usa los datos de auditoría que permiten a las utilidades praudit y auditreduce proporcionar análisis de log más detallados.
Hay disponible una variedad de opciones que permiten limitar los resultados por usuario, fecha, hora o tipo de evento, como se indica a continuación. Por ejemplo, puede identificar ejecuciones de comandos con privilegios por un ID de usuario en particular en las últimas 24 horas:
# admhist -v -a "last 24 hours" 2017-05-09 10:58:55 user1@example.com cwd=/export/home/user1 /usr/sbin/zfs get quota rpool/export/home/user1 2017-05-09 10:59:16 user1@example.com cwd=/export/home/user1 /usr/sbin/zfs set quota 40g 2017-05-09 10:59:27 user1@example.com cwd=/export/home/user1 /usr/sbin/zfs get quota rpool/export/home/user1 2017-05-09 10:59:31 user1@example.com cwd=/export/home/user1 /usr/bin/bash 2017-05-09 10:59:31 user1@example.com cwd=/ /usr/bin/su
La salida muestra que el usuario user1 cambió al usuario root y aumentó su cuota. Los privilegios que se usan durante toda la vida del proceso se examinan cuando se cierra el comando, y es por este motivo que la operación su se incluye al final de la salida.
Para obtener más información, consulte la página del comando man admhist(8), New Feature – Per-Privilege Logging of Audit Events de Managing Auditing in Oracle Solaris 11.4 y Uso del análisis de Oracle Solaris 12.
Oracle Solaris 11.4 proporciona soporte al cliente para el uso del protocolo de interoperabilidad de gestión de claves (KMIP), versión 1.1. En la estructura criptográfica de Oracle Solaris se incluye un nuevo proveedor PKCS#11, pkcs11_kmip, que permite a las aplicaciones PKCS#11 funcionar como clientes KMIP y comunicarse con servidores compatibles con KMIP.
Oracle Solaris 11.4 también incluye un nuevo comando, kmipcfg, que inicializa y gestiona los estados del proveedor pkcs11_kmip.
Para obtener más información, consulte Capítulo 5, KMIP and PKCS #11 Client Applications de Managing Encryption and Certificates in Oracle Solaris 11.4 y las páginas del comando man pkcs11_kmip(7) y kmipcfg(8).
El etiquetado de procesos y archivos en Oracle Solaris 11.4 proporciona una estructura para restringir el acceso a información confidencial. Ahora se pueden etiquetar archivos y directorios para proporcionar acceso a usuarios o roles con suficiente clearance. La política de clearance también se aplica a procesos con todos los privilegios. Oracle Solaris 11.4 puede generar logs de cada acceso a los archivos etiquetados, lo que se puede usar para cumplir con los estándares de conformidad, como PCI-DSS y HIPAA.
Para obtener más información, consulte Etiquetas y acreditaciones de Protección de archivos y verificación de la integridad de archivos en Oracle Solaris 12 y la página del comando man clearance(7).
Silicon Secured Memory (SSM) agrega la comprobación en tiempo real del acceso a los datos de la memoria como una protección contra las intrusiones malintencionadas y el código de programa con errores en producción, para mayor seguridad y confiabilidad.
SSM está disponible a través de la funcionalidad de asignación de memoria del sistema por defecto y se encuentra dentro de una zona del núcleo. Consulte Compatibilidad con Silicon Secured Memory en zonas del núcleo de Oracle Solaris.
La funcionalidad de asignación por defecto del sistema (libc malloc) ahora incluye la integridad de datos de aplicaciones (ADI). Los archivos binarios etiquetados con el comando sxadm reciben la protección automáticamente. Consulte las protecciones ADIHEAP y ADISTACK en la sección Extensiones de seguridad de la página del comando man sxadm(8).
Hay interfaces de programación de aplicaciones de SSM disponibles para personalización avanzada. Consulte Protecting Against Malware With Security Extensions de Securing Systems and Attached Devices in Oracle Solaris 11.4 y la página del comando man adi(2).
Oracle Solaris 11.4 incluye el firewall de filtro de paquetes (PF) OpenBSD para filtrar tráfico TCP/IP. El firewall de PF sustituye al filtro IP (IPF) en Oracle Solaris 11.4, lo que permite tanto la gestión del ancho de banda como la asignación de prioridades de paquetes. Para usar el firewall de PF, instale el paquete pkg:/network/firewall y active la instancia de servicio svc:/network/firewall:default.
PF incluye la característica pflogd, que es un daemon de registro de paquetes que guarda de manera segura los paquetes registrados por el firewall de PF. Estos paquetes están disponibles mediante un enlace de datos de captura. El daemon lee paquetes de este enlace de datos y los almacena en un archivo. Para obtener más información, consulte la página del comando man pflogd(8).
PF es compatible con ftp-proxy, un proxy semitransparente para FTP, que admite NAT de IPv4. Los sistemas que ejecutan el firewall de PF para NAT pueden usar ftp-proxy para permitir que las conexiones FTP atraviesen el firewall. Para obtener más información, consulte la página del comando man ftp-proxy(8).
Para obtener más información, consulte Capítulo 4, Oracle Solaris Firewall de Securing the Network in Oracle Solaris 11.4 y las páginas del comando man pfctl(8), pf.conf(7) y pf.os(7).
Oracle Solaris 11.4 proporciona una versión actualizada de Kerberos, que incluye mejoras con respecto a la versión más reciente de Kerberos de MIT, y mejoras hechas para Oracle Solaris. Kerberos proporciona autenticación de red y, de manera opcional, proporciona privacidad e integridad de mensajes, según cómo lo use la aplicación.
Para obtener más información, consulte Capítulo 1, Kerberos on Oracle Solaris de Managing Kerberos in Oracle Solaris 11.4 y la página del comando man kerberos.7.
La estructura de autenticación sencilla y capa de seguridad (SASL) proporciona autenticación y servicios de seguridad opcionales para los protocolos de red. Oracle Solaris 11.4 basa la implementación de SASL en Cyrus SASL versión 2.1.26 (código abierto) con algunos cambios.
Los plugins de SASL están en el directorio /usr/lib/sasl2, y la ubicación por defecto de los archivos de configuración de SASL es el directorio /etc/sasl2. Al basar la versión de SASL en código abierto, Oracle Solaris 11.4 puede proporcionar las características más recientes de SASL, incluidas las actualizaciones de seguridad.
Para obtener más información, consulte el Capítulo 2, Using Simple Authentication and Security Layer de Managing Authentication in Oracle Solaris 11.4.
Esta versión de Oracle Solaris ofrece una alternativa para la edición de archivos individuales del directorio /etc para establecer la política del sistema. El servicio account-policy de la utilidad de gestión de servicios (SMF) almacena la configuración de login, su, variables de shell, registro, política de seguridad (policy.conf) y RBAC como propiedades en SMF. Cuando el servicio está activado, la política del sistema se define y se obtiene por medio del servicio. Tenga en cuenta que los archivos de /etc tal vez no indiquen cuáles son las políticas vigentes. Para obtener más información, consulte la página del comando man account-policy(8S) y Modifying Rights System-Wide As SMF Properties de Securing Users and Processes in Oracle Solaris 11.4.
La estructura criptográfica de Oracle Solaris se actualizó de PKCS #11 v2.20 a PKCS #11 v2.40. Entre las actualizaciones, se incluyen algunos de los mecanismos más recientes de PKCS #11 v2.40, incluidos los de PKCS #11 v2.30. En PKCS #11 v2.40 también se introdujeron un nuevo código de error y un nuevo valor. Se agregaron los siguientes mecanismos nuevos:
Firma y verificación de AES
CKM_AES_XCBC_MAC CKM_AES_XCBC_MAC_96 CKM_AES_CMAC CKM_AES_GMAC
Cifrado y descifrado de AES
CKM_AES_GCM CKM_AES_CCM CKM_AES_CFB128
Generación de resúmenes de mensajes SHA-512/t
CKM_SHA512_224 CKM_SHA512_256 CKM_SHA512_T
Longitud general de SHA-512/t con HMAC
CKM_SHA512_224_HMAC_GENERAL CKM_SHA512_256_HMAC_GENERAL CKM_SHA512_T_HMAC_GENERAL CKM_SHA512_224_HMAC CKM_SHA512_256_HMAC CKM_SHA512_T_HMAC
Derivación de claves SHA-512/t
CKM_SHA512_224_KEY_DERIVATION CKM_SHA512_256_KEY_DERIVATION CKM_SHA512_T_KEY_DERIVATION
TLS 1.2
CKM_TLS12_MASTER_KEY_DERIVE CKM_TLS12_MASTER_KEY_DERIVE_DH CKM_TLS12_KEY_AND_MAC_DERIVE CKM_TLS12_KEY_SAFE_DERIVE CKM_TLS_KDF - replacing CKM_TLS_PRF CKM_TLS_MAC - replacing CKM_TLS_PRF
Código de error CKR_CURVE_NOT_SUPPORTED para curva elíptica
Si no se puede admitir una curva elíptica específica, se devuelve el código de error CKR_CURVE_NOT_SUPPORTED. En la versión anterior, se devolvía el código de error CKR_TEMPLATE_INCONSISTENT si no se admitía la curva.
CK_UNAVAILABLE_INFORMATION
Cuando se llama a la función C_GetAttributeValue(), si no se puede devolver un atributo por no ser válido o no estar disponible, ulValueLen se define con el valor CK_UNAVAILABLE_INFORMATION. El emisor de la llamada debe comprobar si el valor del atributo devuelto no es válido o no está disponible, para lo cual debe comparar ulValueLen con CK_UNAVAILABLE_INFORMATION. Además, el emisor la llamada debe considerar ulValueLen = 0 como un valor válido.
Atributos CKA_DESTROYABLE y CKR_ACTION_PROHIBITED
Si un objeto tiene CKA_DESTROYABLE = CK_FALSE, una solicitud a C_DestroyObject para este objeto en particular debería generar la devolución del código de error CKR_ACTION_PROHIBITED.
Eliminación de restricciones con CKU_SO
Este cambio elimina las restricciones de tener una sesión de solo lectura abierta con sesión iniciada de CKU_SO. Si bien las sesiones de solo lectura ahora pueden coexistir con CKU_SO, esas sesiones se comportan como CKS_RO_PUBLIC_SESSION. No se puede usar una sesión de solo lectura para C_Login con CKU_SO.
CKR_SESSION_READ_ONLY_EXISTS y CKR_SESSION_READ_WRITE_SO_EXISTS están en desuso.
Para obtener más información, consulte las páginas del comando man SUNW_C_GetMechSession(3EXT), SUNW_C_KeyToObject(3EXT), libpkcs11(3LIB), pkcs11_softtoken(7), pkcs11_kms(7) y pkcs11_tpm(7).