2011 年 9 月
Ramesh Nagappan
目录:
|
本文将详细介绍 Oracle Solaris 11 在以下五个领域中的新增安全特性和增强:
以下各节总结了这些领域中的新特性或更改的特性,以及这些新特性如何帮助您从应用程序开发的角度构建更全面的安全架构。
主机和应用程序安全增强包括用于访问控制、权限管理和服务管理功能的新特性和增强的特性。
Oracle Solaris 11 通过引入 Root 作为角色 和增强的 pfexec
,扩展了现有最低权限和基于角色的访问控制 (RBAC) 特性。
pfexec
用于执行需要更高权限级别的管理命令。使用新的进程标志来指定所有后续程序执行都遵循 RBAC 策略。首次调用一组完整的配置文件 shell pfsh
(1)、pfcsh
(1)、pfksh
(1)、pfksh93
(1)、pfbash
(1)、pftcsh
(1)、pfzsh
(1)、pfexec
(1) 中的任意一个时设置此标志,并且子进程可继承此标志。有了此特性,应用程序无需修改 shell 脚本即可调用 pfexec
或配置文件 shell。此特性的另一个应用是限制提供给 setuid
为 root 的程序的权限集。需要 setuid
机制的进程通常使用所有权限运行。现在,它们仅使用在 Forced Privileges 权限配置文件内的条目中指定的那些权限执行,从而大大减少了它们成为系统攻击向量的可能性。此外,Oracle Solaris 11 除了 Oracle Solaris 10 中已有的五个权限之外,增加了三个新的“基本”权限(file_read
、file_write
和 net_access
)。这些新权限满足用于限制读取、写入和出站网络访问的多种应用程序开发需求。
Oracle Solaris 11 中的 RBAC 委托特性比竞争系统中提供的此特性更全面。策略是用户只能委托他/她当前具有的内容。此策略适用于角色、组和配置文件成员身份,还适用于各种授权和权限。它通过在用户和口令管理工具中委托授权,实现真正的职责分离。
新的 Stop 配置文件使用户帐户成为沙盒用户帐户、限制默认配置文件以及实现授权。
Oracle Solaris 11 中的服务管理工具 (SMF) 增加了一些用于保护应用程序的特性:
ipfilter
功能,用以配置和部署基于主机/服务的防火墙。SMF 支持设置 ipfilter
配置属性,还允许使用预填充的配置来部署自定义策略。Oracle Solaris 11 引入了一些 Kerberos 服务改进,包括:
Oracle Solaris 11 映像包管理系统 (IPS) 引入了签名的 IPS 软件包的概念,允许对软件包进行签名、验证软件包签名,以及设置签名策略以确定需要就签名有效性和证书属性执行哪些检查。
Oracle Solaris 11 是在“默认安全”的环境配置中提供的,旨在最大程度地减少外部网络攻击。默认情况下,除了 sshd
之外,不启用任何网络服务来接受网络流量。其他已启用的网络服务在内部监听 Oracle Solaris 11 实例中的请求。这确保所有网络服务默认处于禁用状态或设置为仅监听本地系统通信。
Oracle Solaris 11 区域技术增加了如下功能:使用名为专用 IP 堆栈和网络虚拟化的特性按区域创建一个或多个虚拟化的专用网络堆栈。这些特性允许网络管理员按区域创建细粒度网络安全策略。配置示例包括:
Oracle Solaris 11 中的区域管理功能也有所扩展,以便于委托区域管理,从而允许为每个区域指定可以充当管理员的用户和角色。
为了符合更严格的政府标准,Oracle Solaris 加密框架现在支持 NSA Suite B 算法。
Oracle Solaris 加密框架可以充分利用由 Oracle T 系列处理器、Intel Westmere (AES-NI) 以及基于 PKCS#11 的第三方硬件安全模块 (HSM) 提供的硬件辅助加密加速。
Oracle Solaris 11 捆绑的 OpenSSL 增加了更新的特性以启用 OpenSSL 动态引擎 支持,第三方供应商可在自己的引擎实施中插入此支持。还增加了 FIPS Object Module 支持,从而允许在 FIPS 模式下使用通过 FIPS-140-2 验证的 OpenSSL 引擎。
为了帮助执行与批量加密相关的复杂密钥管理任务,Oracle Solaris 加密框架为 Oracle 密钥管理系统提供了一个插件 (pkcs11_kms)。这种机制可供任何支持 PKCS#11 的应用程序使用。
Oracle Solaris 11 根据可信计算组 (TCG) 制定的 TPM 设备规范,引入了可信平台模块 (TPM) 支持。有了此支持,Oracle Solaris 可以利用大多数系统主板上提供的 TPM 芯片安全地存储旨在支持加密操作的加密密钥。TPM 可用作 PKCS#11 密钥库,以便在 SPARC 和 x86/x64 平台上支持应用程序级别加密操作。
Oracle Solaris 11 引入了 Oracle Solaris ZFS 加密支持,包括以下特性:
现在,还可以通过额外的强制写入访问层来保护区域中的 ZFS 数据集。可使用区域配置中的 file-mac-profile
选项并选择一个预定义配置文件对此进行配置。
LOFI 管理实用程序 (lofiadm
) 现在允许文件作为块设备显示,并能够对写入文件的所有块进行加密。
Oracle Solaris 10 引入了 Trusted Extensions 作为一种特殊配置,以便实现多级安全环境。它通过强制访问控制 (MAC) 实施为标签。随着 Oracle Solaris 11 的发布,Trusted Extensions 有了许多改进,其中包括:
mlslabel
特性进行标记。此特性确保特定安全标签的 ZFS 文件系统不能在其他标签的区域上挂载,因此不会意外升级或降级数据。随着 Oracle Solaris 11 的发布,Oracle 通过一组增强的新安全特性和改进,持续致力于提高安全性。通过这些新安全特性和改进,您可以构建和部署安全的应用程序,从而应对不断出现的安全威胁并符合不断发展的安全标准。
修订版 1.1,2011 年 9 月 19 日 |