ipsecinit.conf 和 ipsecconf 的安全注意事项

在网络中传输 ipsecinit.conf 文件副本时请格外小心。入侵者可能会在系统读取网络挂载的文件时也读取此文件。例如，在从 NFS 挂载的文件系统中访问或复制 /etc/inet/ipsecinit.conf 文件时，入侵者可能会更改此文件中包含的策略。

请确保在启动任何通信之前已设置了 IPsec 策略，因为新添加的策略项可能会影响现有连接。同样，不要在通信期间更改策略。

特别要指出的是，不能针对在其上发出 connect() 或 accept() 函数调用的 SCTP、TCP 或 UDP 套接字更改 IPsec 策略。其策略不能更改的套接字称为锁定的套接字。新策略项不保护已锁定的套接字。有关更多信息，请参见 connect(3SOCKET) 和 accept(3SOCKET) 手册页。

保护您的名称系统。如果发生以下两种情况，则您的主机名不再值得信任：

• 您的源地址是可以在网络中查找到的主机。

• 您的名称系统受到威胁。

安全漏洞通常是由工具使用不当造成的，而并非由工具本身引起。应慎用 ipsecconf 命令。请将控制台或其他硬连接的 TTY 用作最安全的操作模式。