在 Solaris 安全 Shell 中,提供了使用口令、公钥,或同时使用二者的验证。所有网络通信都将被加密。因此,Solaris 安全 Shell 可防止可能的入侵者读取被拦截的通信。Solaris 安全 Shell 还可防止入侵者欺骗系统。
Solaris 安全 Shell 还可用作即时 virtual private network, VPN(虚拟专用网络)。VPN 可以转发 X 窗口系统通信,或通过加密的网络链路连接本地计算机和远程计算机之间的各个端口号。
使用 Solaris 安全 Shell,可以执行以下操作:
通过不安全的网络安全地登录到其他主机。
在两台主机之间安全地复制文件。
在远程主机上安全地运行命令。
Solaris 安全 Shell 支持两种版本的安全 Shell 协议。版本 1 是协议的原始版本。版本 2 更安全,该版本修正了版本 1 的一些基本安全设计缺陷。版本 1 仅提供用于协助用户迁移到版本 2。强烈建议用户不要使用版本 1。
在下文中,v1 用于表示版本 1,v2 用于表示版本 2。
Solaris 安全 Shell 提供公钥和口令方法来验证与远程主机的连接。公钥验证是一种比口令验证更强大的验证机制,因为私钥从不通过网络传送。
请按以下顺序尝试这些验证方法。如果配置不满足验证方法的要求,请尝试下一种方法。
GSS-API-使用 mech_krb5 (Kerberos V) 和 mech_dh (AUTH_DH) 等 GSS-API 机制的凭证来验证客户机和服务器。有关 GSS-API 的更多信息,请参见《Solaris 开发者安全性指南》中的“GSS-API 介绍”。
基于主机的验证-使用主机密钥和 rhosts 文件。使用客户机的 RSA 和 DSA 公共/专用主机密钥验证客户机。使用 rhosts 文件向用户授权使用客户机。
公钥验证-验证用户的 RSA 和 DSA 公钥/私钥。
口令验证-使用 PAM 验证用户。 v2 中的键盘验证方法允许 PAM 的任意提示。有关更多信息,请参见 sshd(1M) 手册页中的 SECURITY 部分。
下表显示了验证正在尝试登录到远程主机的用户的要求。该用户位于本地主机(客户机)上。远程主机(服务器)正在运行 sshd 守护进程。下表显示了 Solaris 安全 Shell 验证方法、兼容的协议版本和主机要求。
表 18–1 Solaris 安全 Shell 的验证方法
验证方法(协议版本) |
本地主机(客户机)要求 |
远程主机(服务器)要求 |
---|---|---|
GSS 机制的启动器凭证。 |
GSS 机制的接收器凭证。有关更多信息,请参见获取 Solaris 安全 Shell 中的 GSS 凭证。 |
|
用户帐户 /etc/ssh/ssh_host_rsa_key 或 /etc/ssh/ssh_host_dsa_key 中的本地主机私钥 /etc/ssh/ssh_config 中的 HostbasedAuthentication yes |
用户帐户 /etc/ssh/known_hosts 或 ~/.ssh/known_hosts 中的本地主机公钥 /etc/ssh/sshd_config 中的 HostbasedAuthentication yes /etc/ssh/sshd_config 中的 IgnoreRhosts no /etc/shosts.equiv、/etc/hosts.equiv、~/.rhosts 或 ~/.shosts 中的本地主机项 |
|
用户帐户 ~/.ssh/id_rsa 或 ~/.ssh/id_dsa 中的私钥 ~/.ssh/id_rsa.pub 或 ~/.ssh/id_dsa.pub 中的用户公钥 |
用户帐户 ~/.ssh/authorized_keys 中的用户公钥 |
|
RSA 公钥 (v1) |
用户帐户 ~/.ssh/identity 中的私钥 ~/.ssh/identity.pub 中的用户公钥 |
用户帐户 ~/.ssh/authorized_keys 中的用户公钥 |
用户帐户 |
用户帐户 支持 PAM,包括触发口令生命期后的任意提示和口令更改。 |
|
用户帐户 |
用户帐户 支持 PAM。 |
|
仅 .rhosts (v1) |
用户帐户 |
用户帐户 /etc/ssh/sshd_config 中的 IgnoreRhosts no /etc/shosts.equiv、/etc/hosts.equiv、~/.shosts 或 ~/.rhosts 中的本地主机项 |
仅在服务器上使用 RSA (v1) 的 .rhosts |
用户帐户 /etc/ssh/ssh_host_rsa1_key 中的本地主机公钥 |
用户帐户 /etc/ssh/ssh_known_hosts 或 ~/.ssh/known_hosts 中的本地主机公钥 /etc/ssh/sshd_config 中的 IgnoreRhosts no /etc/shosts.equiv、/etc/hosts.equiv、~/.shosts 或 ~/.rhosts 中的本地主机项 |
有关 Solaris 系统中的安全 Shell 的全面介绍,请参见由 Jason Reid 编著的《Secure Shell in the Enterprise》,2003 年 6 月出版,ISBN 为 0-13-142900-0。该书是 Sun Microsystems Press 出版的 Sun BluePrints 丛书的一部分。
有关联机信息,请导航至 Sun 的 BigAdmin System Administration Portal 网站 http://www.sun.com/bigadmin。单击 docs.sun.com,然后在 Other documentation sites 下单击 Sun BluePrints。然后依次单击 Archives by Subject 和 Security。该文档集包括以下文章:
《Role Based Access Control and Secure Shell – A Closer Look At Two Solaris Operating Environment Security Features》
《Integrating the Secure Shell Software》
《Configuring the Secure Shell Software》