Solaris 9 发行版包括以下安全增强功能。
互联网密钥交换 (IKE) 会将 IPsec 的密钥管理自动化。 IKE 在 IPv4 网络上替换手动密钥设定和刷新。 IKE 使管理员能够管理更多的安全网络。
系统管理员使用 IPsec 设置安全 IPv4 网络。 in.iked 守护程序提供引导时的密钥衍生、身份验证和身份验证保护。 守护程序是可配置 的。 管理员在配置 文件中设置参数。 设置好参数后,就不需要手动刷新密钥了。
有关详细信息,请参见 System Administration Guide: IP Services 中的 “Internet Key Exchange”。
安全 shell 允许用户通过不安全的网络安全地访问远程主机。 数据传输和交互式用户网络会话都受到保护,可免于被窃听、会话侵袭及中间攻击。 Solaris 9 安全 Shell 支持 SSHv1 和 SSHv2 协议版本。 提供使用公钥加密的强身份验证。 X 窗口系统和其他网络服务可通过安全 Shell 连接建立安全通信隧道,并能获得更高级别的安全保护。
Secure Shell 服务器 sshd 支持对网络服务进来的请求的监视和过滤。 可以配置服务器以记录进来的请求的客户机主机名,从而增强网络安全性。 sshd 与免费软件增强功能中所述的 Tcp-wrappers 7.6 公用程序使用相同的机制。
有关详细信息,请参见 sshd(1M)、hosts_access(4) 和 hosts_options(4) 手册页。 另请参见 System Administration Guide: Security Services 中的 “Using Solaris Secure Shell (Tasks)”。
系统管理员可以使用 Kerberos V5 身份验证、保密性和完整性来改进系统的安全性。 NFS 是一个使用 Kerberos V5 加强安全性的应用示例。
下面的列表强调了 Kerberos V5 的新功能。
Kerberos V5 服务器 – 服务器包括以下组件:
主要的(用户)管理系统 – 包括用于主要用户和安全性策略的本机和远程管理的中央服务器。 系统组件( GUI 和 CLI 管理工具。
密钥发行中心 (KDC) – 使用管理服务器创建的主要数据库信息。 颁发客户机凭证
主要数据库复制系统 – 将 KDC 数据库复制到备份服务器。
MIT 和 Microsoft Windows 2000 口令更改互操作性 – Kerberos V5 口令现在可以从一个 Solaris 客户机更改到 MIT Kerberos 服务器和 Microsoft Windows 2000。
优化的 DES – Kerberos V5 内核 DES 操作已经为 Sun4u 体系结构进行了优化。
现在使用 Solaris 核心支持的 Kerberos 加密的通信 – Solaris 9 操作环境提供了支持 Kerberos 加密通信的加密模块。 以前,加密模块只能从 Solaris 加密工具包 CD-ROM 上或通过 Web 下载才能获得。
无地址的票证 – 系统管理员和用户现在可以指定无地址的票证。 这种能力在多头和 NAT 网络环境中是必要的。
Kerberos V5 PAM 模块支持口令生命期 – pam_krb5 模块支持 KDC 中设置的每一主要用户的口令生命期。
有关详细信息,请参见 System Administration Guide: Security Services 中的 “Administering the Kerberos Database”。
Solaris 9 发行版包括 LDAP 基于客户机安全性的新功能。 新 LDAP 库为 SSL (TLS) 和 CRAM-MD5 提供加密机制。 这些加密机制允许用户通过 LDAP 客户机和 LDAP 服务器之间的连线部署加密方法。
Sun ONE Directory Server 5.1(以前的 iPlanet Directory Server 5.1)是 LDAP 目录服务器。 有关此服务器的详细信息,请参见联网增强功能。
Solaris 9 发行版中包含 IPsec 和 Kerberos 强加密。 在本发行版以前的版本中,加密模块只能从 Solaris 加密工具包 CD-ROM 上或通过 Web 下载才能获得。 目前,这些算法中有许多可以在 Solaris 9 操作环境中获得。 这些算法包括对 Kerberos 的 56 位 DES 保密性的支持以及对 IPsec 的 56 位 DES 和 128 位 3 键的 Triple-DES 的支持。
对于更强的加密支持,可在 Solaris 加密工具包 CD-ROM 中获得或通过 Web 下载获得。 IPsec 支持 128 位、192 位或 256 位高级加密标准 (AES),以及从 32 位到 448 位以 8 位递增的 Blowfish。
有关 IPsec 支持的信息,请参见 System Administration Guide: IP Services 中的“IPsec (Overview)”。 有关 Kerberos 支持的信息,请参见 System Administration Guide: Security Services 中的 “Introduction to SEAM”。
Solaris 9 发行版增强了 IPsec 安全框架的功能,从而在各计算机之间启用了安全 IPv6 数据报。 对于 Solaris 9 发行版本,在使用用于 IPv6 的 IPsec 时只支持使用人工按键。
用于 IPv4 的 IPsec 安全框架是在 Solaris 8 发行版中引入的。 在 IPv4 中可以使用网际密钥交换 (IKE) 协议。
有关详细信息,请参见 System Administration Guide: IP Services 中的 “IPsec (Overview)”。
基于角色的访问控制 (RBAC) 数据库可以通过 Solaris 管理控制台图形界面进行管理。 也可以在 policy.conf 文件中缺省指定权限。 此外,如今权限中还可以包含其他权限。
有关 RBAC 的详细信息,请参见 System Administration Guide: Security Services 中的 “Role-Based Access Control (Overview)”。 有关 Solaris 管理控制台的信息,请参见系统管理工具。
新选项使系统管理员能够只允许加密的连接接入到 Solaris X 服务器。 有关详细信息,请参见为桌面用户提供的 Solaris 9 功能。
通用安全服务应用程序编程接口 (GSS-API) 是一个安全框架,能够使应用程序保护其发送的数据。 GSS-API 为应用程序提供身份验证、完整性和保密性服务。 该接口允许那些应用程序在安全性方面完全通用。 应用程序不必一定要检查正在使用的基础平台(例如 Solaris 平台)或安全性机制(例如 Kerberos)。 这意味着使用 GSS-API 的应用程序可以具有很高的移植性。
有关详细信息,请参见 GSS-API Programming Guide。
有关 SunScreenTM 3.2(一种防火墙产品)的信息,请参见其他软件。
有关 Solaris 9 发行版中 Tcp-wrappers 7.6 免费软件的信息,另请参见免费软件增强功能。 Tcp-wrappers 7.6 是一个小守护程序,用于监视和过滤网络服务的进入请求。