系统管理指南：安全性服务

Solaris 安全 Shell（概述）

在 Solaris 安全 Shell 中，提供了使用口令、公钥，或同时使用二者的验证。所有网络通信都将被加密。因此，Solaris 安全 Shell 可防止可能的入侵者读取被拦截的通信。Solaris 安全 Shell 还可防止入侵者欺骗系统。

Solaris 安全 Shell 还可用作即时 virtual private network, VPN（虚拟专用网络）。VPN 可以转发 X 窗口系统通信，或通过加密的网络链路连接本地计算机和远程计算机之间的各个端口号。

使用 Solaris 安全 Shell，可以执行以下操作：

通过不安全的网络安全地登录到其他主机。
在两台主机之间安全地复制文件。
在远程主机上安全地运行命令。

Solaris 安全 Shell 支持两种版本的安全 Shell 协议。版本 1 是协议的原始版本。版本 2 更安全，该版本修正了版本 1 的一些基本安全设计缺陷。版本 1 仅提供用于协助用户迁移到版本 2。强烈建议用户不要使用版本 1。

注 –

在下文中，v1 用于表示版本 1，v2 用于表示版本 2。

Solaris 安全 Shell 验证

Solaris 安全 Shell 提供公钥和口令方法来验证与远程主机的连接。公钥验证是一种比口令验证更强大的验证机制，因为私钥从不通过网络传送。

请按以下顺序尝试这些验证方法。如果配置不满足验证方法的要求，请尝试下一种方法。

GSS-API－使用 mech_krb5 (Kerberos V) 和 mech_dh (AUTH_DH) 等 GSS-API 机制的凭证来验证客户机和服务器。有关 GSS-API 的更多信息，请参见《Solaris 开发者安全性指南》中的“GSS-API 介绍”。
基于主机的验证－使用主机密钥和 rhosts 文件。使用客户机的 RSA 和 DSA 公共/专用主机密钥验证客户机。使用 rhosts 文件向用户授权使用客户机。
公钥验证－验证用户的 RSA 和 DSA 公钥/私钥。
口令验证－使用 PAM 验证用户。 v2 中的键盘验证方法允许 PAM 的任意提示。有关更多信息，请参见 sshd(1M) 手册页中的 SECURITY 部分。

下表显示了验证正在尝试登录到远程主机的用户的要求。该用户位于本地主机（客户机）上。远程主机（服务器）正在运行 sshd 守护进程。下表显示了 Solaris 安全 Shell 验证方法、兼容的协议版本和主机要求。

表 18–1 Solaris 安全 Shell 的验证方法


验证方法（协议版本）	本地主机（客户机）要求	远程主机（服务器）要求
GSS-API (v2)	GSS 机制的启动器凭证。	GSS 机制的接收器凭证。有关更多信息，请参见获取 Solaris 安全 Shell 中的 GSS 凭证。
基于主机 (v2)	用户帐户 `/etc/ssh/ssh_host_rsa_key` 或 `/etc/ssh/ssh_host_dsa_key` 中的本地主机私钥 `/etc/ssh/ssh_config` 中的 `HostbasedAuthentication yes`	用户帐户 `/etc/ssh/known_hosts` 或 `~/.ssh/known_hosts` 中的本地主机公钥 `/etc/ssh/sshd_config` 中的 `HostbasedAuthentication yes` `/etc/ssh/sshd_config` 中的 `IgnoreRhosts no` `/etc/shosts.equiv`、`/etc/hosts.equiv`、`~/.rhosts` 或 `~/.shosts` 中的本地主机项
RSA 或 DSA 公钥 (v2)	用户帐户 `~/.ssh/id_rsa` 或 `~/.ssh/id_dsa` 中的私钥 `~/.ssh/id_rsa.pub` 或 `~/.ssh/id_dsa.pub` 中的用户公钥	用户帐户 `~/.ssh/authorized_keys` 中的用户公钥
RSA 公钥 (v1)	用户帐户 `~/.ssh/identity` 中的私钥 `~/.ssh/identity.pub` 中的用户公钥	用户帐户 `~/.ssh/authorized_keys` 中的用户公钥
键盘交互 (v2)	用户帐户	用户帐户支持 PAM，包括触发口令生命期后的任意提示和口令更改。
基于口令（v1 或 v2）	用户帐户	用户帐户支持 PAM。
仅 `.rhosts` (v1)	用户帐户	用户帐户 `/etc/ssh/sshd_config` 中的 `IgnoreRhosts no` `/etc/shosts.equiv`、`/etc/hosts.equiv`、`~/.shosts` 或 `~/.rhosts` 中的本地主机项
仅在服务器上使用 RSA (v1) 的 `.rhosts`	用户帐户 `/etc/ssh/ssh_host_rsa1_key` 中的本地主机公钥	用户帐户 `/etc/ssh/ssh_known_hosts` 或 `~/.ssh/known_hosts` 中的本地主机公钥 `/etc/ssh/sshd_config` 中的 `IgnoreRhosts no` `/etc/shosts.equiv`、`/etc/hosts.equiv`、`~/.shosts` 或 `~/.rhosts` 中的本地主机项

企业中的 Solaris 安全 Shell

有关 Solaris 系统中的安全 Shell 的全面介绍，请参见由 Jason Reid 编著的《Secure Shell in the Enterprise》，2003 年 6 月出版，ISBN 为 0-13-142900-0。该书是 Sun Microsystems Press 出版的 Sun BluePrints 丛书的一部分。

有关联机信息，请导航至 Sun 的 BigAdmin System Administration Portal 网站 http://www.sun.com/bigadmin。单击 docs.sun.com，然后在 Other documentation sites 下单击 Sun BluePrints。然后依次单击 Archives by Subject 和 Security。该文档集包括以下文章：

《Role Based Access Control and Secure Shell – A Closer Look At Two Solaris Operating Environment Security Features》
《Integrating the Secure Shell Software》
《Configuring the Secure Shell Software》