跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
要在启动 Solaris 操作系统 (Solaris Operating System, Solaris OS) 时调用 IPsec 安全策略,请创建一个配置文件以通过特定的 IPsec 策略项来初始化 IPsec。此文件的缺省名称为 /etc/inet/ipsecinit.conf。有关策略项及其格式的详细信息,请参见 ipsecconf(1M) 手册页。配置策略之后,您可以使用 ipsecconf 命令来查看或修改现有配置。从 Solaris 10 4/09 发行版开始,可刷新 policy 服务来修改现有配置。
Solaris 软件包含一个 IPsec 策略文件样例 ipsecinit.sample。您可以使用此文件作为模板来创建自己的 ipsecinit.conf 文件。ipsecinit.sample 文件包含以下示例:
# # For example, # # {rport 23} ipsec {encr_algs des encr_auth_algs md5} # # will protect the telnet traffic originating from the host with ESP using # DES and MD5. Also: # # {raddr 10.5.5.0/24} ipsec {auth_algs any} # # will protect traffic to or from the 10.5.5.0 subnet with AH # using any available algorithm. # # # To do basic filtering, a drop rule may be used. For example: # # {lport 23 dir in} drop {} # {lport 23 dir out} drop {} # will disallow any remote system from telnetting in. # # If you are using IPv6, it may be useful to bypass neighbor discovery # to allow in.iked to work properly with on-link neighbors. To do that, # add the following lines: # # {ulp ipv6-icmp type 133-137 dir both } pass { } # # This will allow neighbor discovery to work normally.
在网络中传输 ipsecinit.conf 文件副本时请格外小心。入侵者可能会在系统读取网络挂载的文件时也读取此文件。例如,在从 NFS 挂载的文件系统中访问或复制 /etc/inet/ipsecinit.conf 文件时,入侵者可能会更改此文件中包含的策略。
请确保在启动任何通信之前已设置了 IPsec 策略,因为新添加的策略项可能会影响现有连接。同样,不要在通信期间更改策略。
特别要指出的是,不能针对在其上发出 connect() 或 accept() 函数调用的 SCTP、TCP 或 UDP 套接字更改 IPsec 策略。其策略不能更改的套接字称为锁定的套接字。新策略项不保护已锁定的套接字。有关更多信息,请参见 connect(3SOCKET) 和 accept(3SOCKET) 手册页。
保护您的名称系统。如果发生以下两种情况,则您的主机名不再值得信任:
您的源地址是可以在网络中查找到的主机。
您的名称系统受到威胁。
安全漏洞通常是由工具使用不当造成的,而并非由工具本身引起。应慎用 ipsecconf 命令。请将控制台或其他硬连接的 TTY 用作最安全的操作模式。