Solaris 9 4/04 作業環境的新功能

安全性增強功能

solaris 9 發行版本包含以下安全性增強功能。

網際網路密鑰交換 (IKE) 協定

網際網路密鑰交換 (IKE) 可將 IPsec 的密鑰管理自動化。 IKE 可取代 IPv4 網路上的手動密鑰指定和刷新。 IKE 可讓管理員管理更多的安全網路。

系統管理員可使用 IPsec 設定安全 IPv4 網路。 in.iked 常駐程式提供啟動時的密鑰導出、認證和認證保護。常駐程式是可配置的。管理員在配置檔案中設定參數。在設定好參數之後，無需手動刷新密鑰。

如需更詳細的資訊，請參閱System Administration Guide: IP Services中的「Internet Key Exchange」。

Solaris Secure Shell

Secure Shell 允許使用者透過不安全的網路來安全存取遠端主機。資料傳輸和互動式使用者網路工作時段都會受到保護，以避免被竊聽、工作時段被侵襲及過程中被侵襲。 Solaris 9 Secure Shell 支援 SSHv1 和 SSHv2 協定版本，同時提供使用公開密鑰加密方法的強認證。為取得額外的保護，可以透過 Secure Shell 連線提供 X 視窗系統和其他網路服務安全通道。

Secure Shell 伺服器 sshd 支援監視並過濾要求網路服務的外來請求。伺服器可配置為記錄外來請求的用戶端主機名稱，進而增強網路安全性。 sshd 使用的機制與在免費軟體增強功能中描述的 Tcp-wrappers 7.6 公用程式使用的機制相同。

如需更詳細的資訊，請參閱 sshd(1M)、hosts_access(4) 及 hosts_options(4) 線上說明手冊。另請參閱System Administration Guide: Security Services中的「Using Solaris Secure Shell (Tasks)」。

Kerberos 密鑰分配中心 (KDC) 和管理工具

系統管理員可以使用 Kerberos V5 認證、私密性和完整性來改善系統安全性。 NFS 是使用 Kerberos V5 提供安全性的應用程式範例。

以下清單主要顯示 Kerberos V5 的新功能。

Kerberos V5 伺服器 – 該伺服器包含下列元件：
- 主要 (使用者) 管理系統 – 包含一個對主要使用者和安全策略進行本機和遠端管理的中央伺服器。系統同時包含 GUI 和 CLI 管理工具。
- 密鑰分配中心 (KDC) – 使用由管理伺服器建立的主要資料庫資訊，可為用戶端分配憑證。
- 主要資料庫複製系統 – 將 KDC 資料庫複製到備份伺服器。
MIT 與 Microsoft Windows 2000 密碼變更互通的功能 – Kerberos V5 密碼現在可以從 Solaris 用戶端變更至 MIT Kerberos 伺服器以及 Microsoft Windows 2000。
經調整的 DES – Kerberos V5 核心 DES 作業已針對 Sun4u 架構進行了最佳化。
現在使用 Solaris 核心支援 Kerberos 加密通訊 – Solaris 9 作業環境提供支援 Kerberos 加密通訊的加密模組。先前，加密模組僅可從 Solaris Encryption Kit CD-ROM 上取得或透過 Web 下載。
無位址憑證 – 系統管理員和使用者現在可以指定無位址憑證。在多位址以及 NAT 網路環境中必須使用該功能。
Kerberos V5 PAM 模組支援密碼老化 – pam_krb5 模組支援在 KDC 中針對每個主要使用者設定密碼老化。

如需更詳細的資訊，請參閱System Administration Guide: Security Services中的「Administering the Kerberos Database」。

安全 LDAP 用戶端

solaris 9 發行版本包含基於 LDAP 用戶端的安全性新功能。新的 LDAP 程式庫規定了 SSL (TLS) 以及 CRAM-MD5 加密機制。這些加密機制可讓客戶在 LDAP 用戶端以及 LDAP 伺服器之間的連線上部署加密方法。

Sun ONE Directory Server 5.1 (以前為 iPlanet Directory Server 5.1) 是 LDAP 目錄伺服器。如需有關此伺服器的更詳細的資訊，請參閱網路增強功能。

IPsec 和 Kerberos 的加密模組

solaris 9 發行版本包含 IPsec 和 Kerberos 的強加密。在先前的發行版本中，加密模組僅可從 Solaris Encryption Kit CD-ROM 上取得，或透過 Web 下載。現在，Solaris 9 作業環境中包含多個此類演算法。這些演算法包含對 Kerberos 的 56 位元 DES 私密性支援，以及對 IPsec 的 56 位元 DES 和 128 位元 3 密鑰三重 DES 支援。

註解 –

更強的加密支援可從 Solaris Encryption Kit CD-ROM 上取得，也可從 Web 下載。 IPsec 支援 128 位元、192 位元或 256 位元進階加密標準 (AES) 和以 8 位元遞增的 32 位元至 448 位元 Blowfish。

如需有關 IPsec 支援的資訊，請參閱System Administration Guide: IP Services中的「IPsec (Overview)」。如需有關 Kerberos 支援的資訊，請參閱System Administration Guide: Security Services中的「Introduction to SEAM」。

IPv6 的 IP 安全架構

IPsec 安全框架已在 solaris 9 發行版本中得以增強，可讓 IPv6 資料封包在電腦間安全傳輸。對於 solaris 9 發行版本，使用 IPv6 的 IPsec 時，僅支援使用手動密鑰。

註解 –

IPv4 的 IPsec 安全框架是在 solaris 8 發行版本中引入的。網際網路密鑰交換 (IKE) 協定適用於 IPv4。

如需更詳細的資訊，請參閱System Administration Guide: IP Services中的「IPsec (Overview)」。

基於角色的存取控制 (RBAC) 增強功能

基於角色的存取控制 (RBAC) 資料庫可以透過 Solaris 管理主控台的圖形介面來管理。權限現在也可以透過 policy.conf 檔案中的預設值來指定。此外，權限中還可以包含其他權限。

如需有關 RBAC 的更詳細的資訊，請參閱System Administration Guide: Security Services中的「Role-Based Access Control (Overview)」。如需有關 Solaris 管理主控台的資訊，請參閱系統管理工具。

Xserver 安全選項

新的選項可讓系統管理員只允許加密連線至 Solaris X 伺服器。如需更詳細的資訊，請參閱Solaris 9 的桌面使用者功能。

通用安全服務應用程式設計介面 (GSS-API)

通用安全服務應用程式設計介面 (GSS-API) 是一個安全框架，可讓應用程式保護傳輸的資料。 GSS-API 可為應用程式提供認證、完整性以及機密性的服務。此介面允許這些應用程式基於安全考量而完全通用。應用程式無須檢查使用的基礎平台 (如 Solaris 平台) 或安全機制 (如 Kerberos)。這表示使用 GSS-API 的應用程式可具有高度的可攜性。

如需更多資訊，請參閱GSS-API Programming Guide。

其他安全軟體

如需有關 SunScreen^TM 3.2 防火牆產品的資訊，請參閱附加的軟體。

另請參閱免費軟體增強功能，以取得有關 solaris 9 發行版本中 Tcp-wrappers 7.6 免費軟體的資訊。 Tcp-wrappers 7.6 為小型常駐程式，可用來監視並過濾要求網路服務的外來請求。