La administración remota presenta un riesgo considerable para la seguridad, en particular, en el caso de los usuarios de sistemas que no son de confianza. De manera predeterminada, Trusted Extensions no permite la administración remota desde ningún sistema.
Hasta que se configura la red, se asigna la plantilla de seguridad admin_low a todos los hosts remotos, es decir, se los reconoce como hosts sin etiquetas. Hasta que se configuran las zonas con etiquetas, la única zona disponible es la zona global. En Trusted Extensions, la zona global es la zona administrativa. Sólo un rol puede acceder a ella. En concreto, una cuenta debe tener un rango de etiquetas entre ADMIN_LOW y ADMIN_HIGH para acceder a la zona global.
En este estado inicial, los sistemas Trusted Extensions permanecen protegidos frente a los ataques remotos mediante varios mecanismos. Entre los mecanismos, se incluyen los valores netservices, la política ssh predeterminada, la política de inicio de sesión predeterminada y la política PAM predeterminada.
En la instalación, ningún servicio remoto excepto el shell seguro tiene permiso para escuchar en la red.
Sin embargo, el servicio ssh no se puede utilizar para el inicio de sesión remoto mediante root o un rol debido a las políticas ssh, de inicio de sesión y PAM.
La cuenta de usuario root no se puede utilizar para los inicios de sesión remotos porque root es un rol. Los roles no pueden iniciar sesión, de acuerdo con PAM.
Incluso si root se modifica a una cuenta de usuario, las políticas ssh y de inicio de sesión predeterminadas impiden los inicios de sesión remotos por parte del usuario root.
Dos valores predeterminados de PAM impiden los inicios de sesión remotos.
El módulo pam_roles rechaza los inicios de sesión locales y remotos desde las cuentas de tipo role.
Un módulo PAM de Trusted Extensions, pam_tsol_account, rechaza los inicios de sesión remotos en la zona global, a menos que se utilice el protocolo CIPSO. Esta política tiene por objeto que la administración remota se realice por medio de otro sistema Trusted Extensions.
Por lo tanto, al igual que en un sistema Oracle Solaris, se debe configurar la administración remota. Trusted Extensions agrega dos requisitos de configuración, el rango de etiquetas necesario para acceder a la zona global y el módulo pam_tsol_account.