安全性增強功能

Solaris 軟體包含舊版 Solaris 9 的以下安全性增強功能。

• sadmind 安全性層級已提升

• Kerberos 增強功能

• Sun Crypto Accelerator 4000 板上的網際網路密鑰交換 (IKE) 密鑰儲存器

• 網際網路密鑰交換 (IKE) 硬體加速

• 稽核增強功能

• 智慧卡終端機介面

• 增強型 crypt() 函數

• pam_ldap 中的密碼管理功能

• 可插接式認證模組 (PAM) 增強功能

sadmind 安全性層級已提升

為要使用 sadmind 指令提高安全性，預設安全性層級已提高為 2 (DES)。如果您不需要 sadmind，請在 inetd.conf 檔案將其變成注釋予以排除。

如需更多資訊，請參閱「sadmind(1M) 線上說明手冊」。

Kerberos 增強功能

此功能是 Solaris 9 12/03 發行版本中的新功能。

Solaris Kerberos Key Distribution Center (KDC) 現在基於 MIT Kerberos 1.2.1 版。現在，KDC 預設為基於二元樹的資料庫，該資料庫比目前基於雜湊的資料庫更為可靠。

如需更多資訊，請參閱「kdc.conf(4) 線上說明手冊」。

Sun Crypto Accelerator 4000 板上的網際網路密鑰交換 (IKE) 密鑰儲存器

此功能是 Solaris 9 12/03 發行版本中的新功能。

IKE 可在 IPv6 以及 IPv4 網路上運行。如需有關指定 IPv6 實作之關鍵字的更多資訊，請參閱「ifconfig(1M) 線上說明手冊」和「ike.config(4) 線上說明手冊」。

當 Sun Crypto Accelerator 4000 板已連接時，IKE 可以為此板提供密集的計算作業，因此讓作業系統可以空出去執行其它工作。IKE 還可使用連接的板來儲存公開密鑰、私有密鑰以及公用憑證。獨立硬體上的密鑰儲存器可提供附加安全性。

如需更多資訊，請參閱「IPsec and IKE Administration Guide」 和「ikecert(1M) 線上說明手冊」。

網際網路密鑰交換 (IKE) 硬體加速

此功能是 Solaris 9 4/03 發行版本中的新功能。

Sun Crypto Accelerator 1000 卡可以加速 IKE 中的公開密鑰作業。此作業會卸載到卡上。卸載會加速加密過程，降低對作業系統資源的需求。

如需有關 IKE 的更多資訊，請參閱「IPsec and IKE Administration Guide」。

稽核增強功能

此功能是 Solaris 9 8/03 發行版本中的新功能。

本版 Solaris 中的稽核增強功能可減少記錄中的雜訊，並可讓管理員使用 XML 程序檔剖析記錄。這些增強功能包括：

• 不再為唯讀事件稽核公用檔案。auditconfig 指令的 public 策略旗標控制是否要稽核公用檔案。由於不稽核公用物件，因此會大大減少稽核記錄。所以，也更易於監視讀取機密檔案的嘗試。

• praudit 指令具有額外的輸出格式， XML。XML 格式可讓您在瀏覽器中讀取輸出，並提供 XML 程序檔來源報告。請參閱「praudit(1M) 線上說明手冊」。

• 稽核類別的預設設定已經重新調整。稽核複合類別提供對進一步劃分之稽核類別的支援。請參閱「audit_class(4) 線上說明手冊」。

• bsmconv 指令不再會停用 Stop-A 組合鍵。現在，系統會稽核 Stop-A 事件以維護安全性。

如需更多資訊，請參閱「System Administration Guide: Security Services」。

智慧卡終端機介面

此功能是 Solaris 9 8/03 發行版本中的新功能。

Solaris 智慧卡介面是一組用於智慧卡終端機的公用介面。請參閱智慧卡介面。

增強型 crypt() 函數

此功能是 Solaris 9 12/02 發行版本中的新功能。

密碼加密可以保護密碼免遭入侵者讀取。目前，此軟體中可以使用三個功能強大的密碼加密模組：

• 與柏克萊軟體發行版本 (BSD) 系統相容的 Blowfish 版本

• 與 BSD 系統和 Linux 系統相容的 Message Digest 5 (MD5) 版本

• 與其他 Solaris 系統相容的增強型 MD5 版本

如需有關如何使用這些新的加密模組來保護使用者密碼的更多資訊，請參閱「System Administration Guide: Security Services」。如需有關模組強度的更多資訊，請參閱「crypt_bsdbf(5) 線上說明手冊」、「crypt_bsdmd5(5) 線上說明手冊」以及「crypt_sunmd5(5) 線上說明手冊」。

pam_ldap 中的密碼管理功能

此功能是 Solaris 9 12/02 發行版本中的新功能。

結合使用 pam_ldap 密碼管理功能與 Sun ONE Directory Server (以前是 iPlanet Directory Server) 時，前者可加強 LDAP 命名服務的整體安全性。特別是，密碼管理功能可以執行以下作業：

• 允許追蹤密碼的老化和過期

• 防止使用者選擇普通或先前用過的密碼

• 在使用者密碼將過期時警告使用者

• 鎖定重複登入失敗的使用者

• 防止除授權系統管理員之外的使用者撤銷初始化的帳戶

如需有關 Solaris 命名和目錄服務的更多資訊，請參閱「System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)」。如需有關 Solaris 安全性功能的更多資訊，請參閱「System Administration Guide: Security Services」。

可插接式認證模組 (PAM) 增強功能

此功能是 Solaris 9 12/02 發行版本中的新功能。

PAM 架構已透過加入新的控制標幟而得以擴充。新的控制標幟可提供略過附加堆疊處理的功能。如果目前服務模組成功，且先前的強制模組上未發生任何失敗，則會啟動該略過功能。

如需有關此變更的更多資訊，請參閱「System Administration Guide: Security Services」。