在之前的 Solaris 9 发行版基础上,此 Solaris 软件包括以下安全性增强功能:
为了提高 sadmind 命令的安全性,缺省的安全性级别已被提高到 2 (DES)。 如果不需要 sadmind,请在 inetd.conf 文件中将该项标记为注释项。
有关详细信息,请参见 sadmind(1M) 手册页。
此功能在 Solaris 9 12/03 发行版中是新增的。
Solaris Kerberos 密钥发行中心 (KDC) 现在基于 MIT Kerberos 的 1.2.1 版。缺省情况下,KDC 现在是一个基于二叉树的数据库,这比当前基于散列的数据库更可靠。
有关详细信息,请参见 kdc.conf(4) 手册页。
此功能在 Solaris 9 12/03 发行版中是新增的。
IKE 在 IPv6 和 IPv4 网络上运行。 有关特定于 IPv6 实现的关键字的信息,请参见 ifconfig(1M) 和 ike.config(4) 手册页。
连接了 SunTM Crypto Accelerator 4000 卡之后,IKE 就可以将大量计算操作卸载到该卡上,这样就可以释放操作系统以用于其他任务。 IKE 还可以使用已连接的卡存储公共密钥、专用密钥和公共证书。 针对单个硬件的密钥存储可以提供附加安全性。
有关详细信息,请参见 IPsec and IKE Administration Guide 和 ikecert(1M) 手册页。
此功能在 Solaris 9 4/03 发行版中是新增的。
Sun Crypto Accelerator 1000 卡能够加快 IKE 中的公有密钥操作。 有关操作都被转到该卡中, 从而加快了加密过程并降低了对操作系统资源的要求。
有关 IKE 的详细信息,请参见 IPsec and IKE Administration Guide。
此功能在 Solaris 9 8/03 发行版中是新增的。
本 Solaris 发行版中的审核增强功能降低了跟踪噪音,使管理员可以使用 XML 脚本分析跟踪。 这些增强功能包括:
不再审核公共文件的只读事件。 auditconfig 命令的 public 策略标记控制是否审核公共文件。 由于不再审核公共对象,因而审核跟踪大大减少。 对敏感文件的读取尝试将更容易监控。
praudit 命令还有另外一种输出格式 XML。 XML 格式使得输出能够在浏览器中读取,并为报告的 XML 脚本提供数据源。 请参见 praudit(1M) 手册页。
已重新构造缺省的审核类集。 审核元类支持更加细分的审查类。 请参见 audit_class(4) 手册页。
bsmconv 命令不再禁用 Stop-A 密钥。 现在将审核 Stop-A 事件,以确保安全。
有关详细信息,请参见 System Administration Guide: Security Services。
此功能在 Solaris 9 8/03 发行版中是新增的。
Solaris 智能卡接口是用于智能卡终端的一组公共接口。 请参见智能卡接口。
此功能在 Solaris 9 12/02 发行版中是新增的。
口令加密可以防止口令被侵入者读取。 现在,软件中有三种可用的加强口令加密模块:
与 Berkeley 软件发行版 (BSD) 系统兼容的 Blowfish 版本
与 BSD 和 Linux 系统兼容的 Message Digest 5 (MD5) 版本
与其他 Solaris 系统兼容的增强版 MD5
有关如何使用这些新加密模块保护用户口令的信息,请参见 System Administration Guide: Security Services。 有关模块的强度的信息,请参见 crypt_bsdbf(5)、crypt_bsdmd5(5) 和 crypt_sunmd5(5) 手册页。
此功能在 Solaris 9 12/02 发行版中是新增的。
当与 Sun ONE Directory Server(以前的 iPlanetTM Directory Server)配合使用时,pam_ldap 口令管理功能可以增强整个 LDAP 命名服务的安全性。 特别是,该口令管理功能可以:
允许跟踪口令的老化和过期
防止用户选择易破解的或以前使用过的口令
如果口令即将过期,可以向用户发出警告
如果多次登录失败,则禁止用户登录
防止除授权的系统管理员以外的用户停用已初始化的帐户
有关 Solaris 命名和目录服务的详细信息,请参见 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)。 有关 Solaris 安全功能,请参见 System Administration Guide: Security Services。
此功能在 Solaris 9 12/02 发行版中是新增的。
通过包含新的控制标志位,扩展了 PAM 框架。 新的控制标志位提供了跳过附加的栈进程的能力。 如果当前服务模块成功并且在上一个强制模块中没有发生失败,则可以启用此跳过操作。
有关此更改的详细信息,请参见 System Administration Guide: Security Services。