Oracle Solaris 11.4 Beta

Solaris 11.4 Beta

Oracle hat Solaris 11.4 als Open Beta veröffentlicht. Parallel zu den Installations-Medien steht somit auch die Vorab-Dokumentation inklusive der Release-Notes und Neuerungen bereit.

Am meisten stechen die neuen und erweiterten Sicherheits-Features heraus:

  • Unterstützung für eine zentrale KMIP-Schlüsselverwaltung
  • Silicon Secured Memory markiert automatisch Memory-Bereiche auf SPARC-Servern. Die allseits bekannten Buffer-Overflow Attacken, oder Meltdown sind auf diesen Systemen gar nicht erst möglich.
  • Auditing bis auf Datei-Ebene
  • Automatische Compliance Berichte
  • Abgeschottete Laufzeitumgebungen für nicht-vertrauenswürdige Software (Sandbox)

Aber auch in punkto Administration, Virtualisierung und Cloud-Readiness gibt es Verbesserungen:

  • Das Kommando cloudbase-init erleichtert die initiale Einrichtung von VMs
  • Ein neues Web-Dashboard gibt einen Überblick über den Zustand des Systems
  • Der Befehl reflink erzeugt Datei Kopien mit Hilfe von ZFS
  • Unified Archives können ohne den Betriebssystem-Teil erstellt werden
  • Neue Virtualisierungsfeatures

Nachfolgend gehen wir nur auf einen Teil der genannten Features ein.
Eine vollständige Liste der Neuerungen und deren Dokumentation kann der Oracle Solaris 11.4 Information Library entnommen werden.

Auditing

Auditing beschreibt die Dokumentation von sicherheitsrelevanten Änderungen am System und/oder dem Zugriff auf bestimmte Objekte. So können Sicherheits-Verletzungen aufgespürt und nachverfolgt werden.

Auditing war auch schon in früheren Solaris Versionen verfügbar, allerdings ist die Verwaltung einfacher geworden und bis auf Datei-Ebene einstellbar.

Solaris Analytics

Der Zustand des Systems kann mit Solaris Analytics überwacht werden. Per CLI, API und Web-Dashboard kann zugegriffen werden.

 

reflink (cp -z)

Der neue Befehl reflink (Kommandozeile: cp -z) erzeugt eine Daten-Kopie mit Hilfe der ZFS Copy-on-Write Funktionalität, ähnlich einem ZFS-Snapshot, jedoch auf Datei-Ebene. Die Kopie steht unverzüglich zur Verfügung und belegt vorerst noch keinen Speicherplatz. Sobald Änderungen in eine der beiden Dateien geschrieben werden, wird zusätzlicher Speicher allokiert.

Label

Durch Kennzeichnen von Dateien und Prozessen können sensible Daten klassifiziert und der Zugriff darauf eingeschränkt werden. Lable können kombiniert, oder auch hierarchisch vergeben werden. Nur Benutzer und Prozesse, die mit dem entsprechenden Label (oder höher) versehen sind, können die Daten sehen. Erfolgreiche und nicht-erfolgreiche Zugriffe auf gekennzeichnete Dateien können auditiert werden.

Vordefinierte Label sind:

  • Confidential – Highly Restricted
  • Confidential – Restricted
  • Confidential – Internal
  • Public

Es können weitere Label definiert werden. Mehr dazu in der Information Library.

Virtualisierung

Solaris verfügt bekanntlich über zwei verschiedene Ansätze zur Virtualisierung. Zum einen die Solaris Zonen (Container) und zum anderen Oracle VM for SPARC (früher LDom). Letzteres ist, wie der Name vermuten lässt nur auf SPARC-Systemen verfügbar, auf X86 kann mit OVM (basierend auf dem Xen-Hypervisor) virtualisiert werden.

Insbesondere bei den Zonen gibt es einige Neuigkeiten.

 


Achtung:

Wie jede Beta-Software, eignet sich auch dieses Release noch nicht für den produktiven Einsatz!