跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
Oracle Solaris 中的 安全 Shell 是在开源工具包 OpenSSL 的基础上构建的,OpenSSL 实现了安全套接字层和传输层安全。
Oracle Solaris 中提供了该工具包的两个不同版本。
版本 1.0.0 是用于运行 安全 Shell 的缺省版本。
版本 0.9.8 实现了 FIPS-140(一个针对加密模块的美国政府计算机安全标准)。
要在 FIPS-140 (FIPS) 模式下使用 安全 Shell,请参见安全 Shell 和 FIPS-140。
在 安全 Shell 中,通过使用口令和/或公钥提供验证。所有网络通信都会被加密。因此,安全 Shell 可防止潜在入侵者读取被拦截的通信。安全 Shell 还可防止入侵者欺骗系统。
安全 Shell 还可以用作即时请求 virtual private network, VPN(虚拟专用网络)。VPN 可以转发 X 窗口系统通信,或通过加密的网络链路连接本地计算机与远程计算机之间的各个端口号。
使用安全 Shell,可以执行以下操作:
通过不安全的网络安全地登录到其他主机。
在两台主机之间安全地复制文件。
在远程主机上安全地运行命令。
在服务器端,安全 Shell 支持 安全 Shell 协议的版本 2 (v2)。在客户机端,除了 v2,客户机还支持版本 1 (v1)。有关 v1 的信息,请参见《System Administration Guide: Security Services 》。
安全 Shell 提供公钥和口令方法来验证与远程主机的连接。公钥验证是一种比口令验证更强大的验证机制,因为从不通过网络传送私钥。
请按以下顺序尝试这些验证方法。如果配置不满足验证方法的要求,请尝试下一种方法。
GSS-API-使用 mech_krb5 (Kerberos V) 和 mech_dh (AUTH_DH) 等 GSS-API 机制的凭证来验证客户机和服务器。有关 GSS-API 的更多信息,请参见《Oracle Solaris 11 开发者安全性指南》中的"GSS-API 介绍"。
基于主机的验证-使用主机密钥和 rhosts 文件。使用客户机的 RSA 和 DSA 公共/专用主机密钥验证客户机。使用 rhosts 文件向用户授权使用客户机。
公钥验证-通过用户的 RSA 和 DSA 公钥/私钥来验证用户。
口令验证-使用 PAM 来验证用户。v2 中的键盘验证方法允许 PAM 进行任意提示。有关更多信息,请参见sshd(1M) 手册页中的 SECURITY 部分。
下表列出了验证尝试登录到远程主机的用户的要求。该用户位于本地主机(客户机)上。远程主机(服务器)正在运行 sshd 守护进程。该表中列出了安全 Shell 验证方法、兼容的协议版本和主机要求。
表 15-1 安全 Shell 的验证方法
|
有关 Oracle Solaris 系统中的安全 Shell 的全面讨论,请参见 Jason Reid 所著的《Secure Shell in the Enterprise》,2003 年 6 月出版,ISBN 为 0-13-142900-0。本书是 Sun Microsystems Press 出版的 Sun BluePrints 系列的一部分。