远程访问攻击会损坏系统和网络。Oracle Solaris 可为网络传输提供深度防御。防御功能包括数据传输的加密和验证检查、登录验证以及禁用不需要的远程服务。
IP 安全 (IP Security, IPsec) 通过对 IP 包进行验证和/或加密来保护网络传输。由于 IPsec 在应用层下得到了很好的实现,因此 Internet 应用程序可充分利用 IPsec,而无需修改其代码。
IPsec 及其自动密钥交换 (automatic key exchange, IKE) 协议使用由加密框架提供的算法。此外,加密框架还提供一个中央密钥库。将 IKE 配置为使用 metaslot 时,组织可选择在磁盘上、在已连接的硬件密钥库上或在称为 softtoken 的软件密钥库中存储密钥。
IPsec 和 IKE 需要进行配置,因此应对其进行安装,但缺省情况下处于未启用状态。若管理得当,IPsec 是保证网络通信安全的有效工具。
有关更多信息,请参见以下内容:
所选手册页包括 ipsecconf(1M) 和 in.iked(1M)。
缺省情况下,Oracle Solaris 的 安全 Shell 功能是新安装的系统上唯一活动的远程访问机制。其他所有网络服务均禁用,或处于“仅监听”模式。
安全 Shell 可在两个系统之间创建加密通信通道。安全 Shell 还可用作即时请求的虚拟专用网络 (Virtual Private Network, VPN),从而可通过已验证的加密网络链路在本地系统和远程系统之间转发 X 窗口系统通信或者连接各个端口号。
因此,安全 Shell 可防止潜在入侵者读取拦截的通信,并防止有敌意的人欺骗系统。
有关更多信息,请参见以下内容:
所选手册页包括 ssh(1)、sshd(1M)、sshd_config(4) 和 ssh_config(4)。
Oracle Solaris 的 Kerberos 功能甚至支持通过异构网络(这些网络上的系统运行不同的操作系统并且运行 Kerberos 服务)执行单点登录和安全事务。
Kerberos 基于麻省理工学院 (Massachusetts Institute of Technology, MIT) 开发的 Kerberos V5 网络验证协议。Kerberos 服务可提供功能强大的用户验证以及完整性和保密性。使用 Kerberos 服务,只需一次登录即可安全访问其他系统、执行命令、交换数据以及传输文件。此外,通过该服务,管理员还可以限制对服务和系统的访问。