安全性增强功能

审核增强功能

本 Solaris 发行版中的审核增强功能降低了跟踪噪音，使管理员可以使用 XML 脚本分析跟踪。这些增强功能包括：

• 不再审核公共文件的只读事件。auditconfig 命令的 public 策略标记控制是否审核公共文件。由于不再审核公共对象，因而审核跟踪大大减少。对敏感文件的读取尝试将更容易监控。

• praudit 命令还有另外一种输出格式 XML。XML 格式使得输出能够在浏览器中读取，并为报告的 XML 脚本提供数据源。请参见 praudit (1M) 手册页。

• 已重新构造缺省的审核类集。审核元类支持更加细分的审查类。请参见 audit_class(4) 手册页。

• bsmconv 命令不再禁用 Stop-A 密钥。现在将审核 Stop-A 事件，以确保安全。

有关详细信息，请参见《 System Administration Guide: Security Services》。

智能卡终端接口

Solaris 智能卡接口是用于智能卡终端的一组公共接口。请参见智能卡终端接口。

Internet Key Exchange (IKE) 硬件加速

Sun^TM Crypto Accelerator 1000 卡能够加快 IKE 中的公有密钥操作。有关操作都被转到该卡中，从而加快了加密过程并降低了对操作系统资源的要求。

有关 IKE 的详细信息，请参见《IPsec and IKE Administration Guide》。

增强的 crypt() 功能

口令加密可以防止口令被侵入者读取。现在，软件中有三种可用的加强口令加密模块：

• 与 Berkeley 软件发行版 (BSD) 系统兼容的 Blowfish 版本。

• 与 BSD 和 Linux 系统兼容的 Memory Digest 5 (MD5) 版本。

• 与其它 Solaris 9 系统兼容的增强版 MD5。

有关如何使用这些新加密模块保护用户口令的详细信息，请参见《System Administration Guide: Security Services》。有关这些模块的功能的信息，请参见 crypt_bsdbf( 5)、crypt_bsdmd5( 5) 和 crypt_sunmd5( 5) 手册页。

pam_ldap 中的口令管理功能

当与 Sun ONE Directory Server（以前的 iPlanet Directory Server）配合使用时，pam_ldap 口令管理功能可以增强整个 LDAP 命名服务的安全性。特别是，该口令管理功能可以：

• 允许跟踪口令的老化和过期

• 防止用户选择易破解的或以前使用过的口令

• 如果口令即将过期，可以向用户发出警告

• 如果多次登录失败，则禁止用户登录

• 防止除授权的系统管理员以外的用户停用已初始化的帐户

有关 Solaris 命名和目录服务的详细信息，请参见《System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)》。有关 Solaris 安全性功能的信息，请参见《System Administration Guide: Security Services》。

可插接式鉴别模块 (PAM) 增强功能

通过包含新的控制标志位，扩展了 PAM 框架。新的控制标志位提供了跳过附加的栈进程的能力。如果当前服务模块成功并且在上一个强制模块中没有发生失败，则可以启用此跳过操作。

有关此更改的详细信息，请参见《System Administration Guide: Security Services》。