跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
Oracle Solaris 为服务器端和客户机端提供了 FIPS-140 选项。FIPS 模式(其中 安全 Shell 使用 OpenSSL 的 FIPS-140 模式)不是缺省模式。可以在命令行上调用 FIPS 模式,如 ssh -o "UseFIPS140 yes" remote-host 中所示。此外,还可以在配置文件中设置关键字。
简而言之,此实现由以下项组成:
以下经 FIPS 认可的加密算法在服务器和客户机端可用:aes128-cbc、aes192-cbc 和 aes256-cbc。
3des-cbc 在客户机端缺省可用,但由于潜在的安全风险,它不在服务器端的加密算法列表中。
以下经 FIPS 认可的消息验证代码 (message authentication code, MAC) 可用:
hmac-sha1、hmac-sha1-96
hmac-sha2-256、hmac-sha2-256-96
hmac-sha2-512、hmac-sha2-512-96
支持四种服务器-客户机配置:
客户机和服务器端均没有 FIPS 模式
客户机和服务器端均有 FIPS 模式
服务器端有 FIPS 模式,客户机端没有
客户机端有 FIPS 模式,服务器端没有
ssh-keygen 命令有一个选项用来生成在 FIPS 模式下 安全 Shell 客户机需要的处于 PKCS #8 格式的用户私钥。有关更多信息,请参见 ssh-keygen(1) 手册页。
有关 安全 Shell 中的 FIPS 操作的更多信息,请参见 sshd(1M)、sshd_config(4)、ssh(1) 和 ssh_config(4) 手册页。
使用 Sun Crypto Accelerator 6000 卡进行安全 Shell 操作时,安全 Shell 在第 3 级 FIPS-140 支持下运行。第 3 级硬件经过认证,可抵御物理篡改,使用基于身份的验证,并将处理关键安全参数的接口同硬件的其他接口隔离。