系统管理指南：IP 服务

`ipsecinit.conf` 文件

要在启动 Solaris 操作系统 (Solaris Operating System, Solaris OS) 时调用 IPsec 安全策略，请创建一个配置文件以通过特定的 IPsec 策略项来初始化 IPsec。此文件的缺省名称为 /etc/inet/ipsecinit.conf。有关策略项及其格式的详细信息，请参见 ipsecconf(1M) 手册页。配置策略之后，您可以使用 ipsecconf 命令来查看或修改现有配置。从 Solaris 10 4/09 发行版开始，可刷新 policy 服务来修改现有配置。

`ipsecinit.conf` 文件样例

Solaris 软件包含一个 IPsec 策略文件样例 ipsecinit.sample。您可以使用此文件作为模板来创建自己的 ipsecinit.conf 文件。ipsecinit.sample 文件包含以下示例：

#
# For example,
#
#	 {rport 23} ipsec {encr_algs des encr_auth_algs md5}
#
# will protect the telnet traffic originating from the host with ESP using
# DES and MD5. Also:
#
#	 {raddr 10.5.5.0/24} ipsec {auth_algs any}
#
# will protect traffic to or from the 10.5.5.0 subnet with AH 
# using any available algorithm.
#
#
# To do basic filtering, a drop rule may be used. For example:
#
#	 {lport 23 dir in} drop {}
#	 {lport 23 dir out} drop {}
# will disallow any remote system from telnetting in.
#
# If you are using IPv6, it may be useful to bypass neighbor discovery
# to allow in.iked to work properly with on-link neighbors. To do that,
# add the following lines:
#
#        {ulp ipv6-icmp type 133-137 dir both } pass { }
#
# This will allow neighbor discovery to work normally.

`ipsecinit.conf` 和 `ipsecconf` 的安全注意事项

在网络中传输 ipsecinit.conf 文件副本时请格外小心。入侵者可能会在系统读取网络挂载的文件时也读取此文件。例如，在从 NFS 挂载的文件系统中访问或复制 /etc/inet/ipsecinit.conf 文件时，入侵者可能会更改此文件中包含的策略。

请确保在启动任何通信之前已设置了 IPsec 策略，因为新添加的策略项可能会影响现有连接。同样，不要在通信期间更改策略。

特别要指出的是，不能针对在其上发出 connect() 或 accept() 函数调用的 SCTP、TCP 或 UDP 套接字更改 IPsec 策略。其策略不能更改的套接字称为锁定的套接字。新策略项不保护已锁定的套接字。有关更多信息，请参见 connect(3SOCKET) 和 accept(3SOCKET) 手册页。

保护您的名称系统。如果发生以下两种情况，则您的主机名不再值得信任：

您的源地址是可以在网络中查找到的主机。
您的名称系统受到威胁。

安全漏洞通常是由工具使用不当造成的，而并非由工具本身引起。应慎用 ipsecconf 命令。请将控制台或其他硬连接的 TTY 用作最安全的操作模式。

ipsecinit.conf 文件