安全 Shell 是 OpenSSL FIPS 140 模块的使用者。Oracle Solaris 为服务器端和客户端提供了 FIPS 140 选项。要符合 FIPS 140 要求,管理员应该配置和使用 FIPS 140 选项。
FIPS 模式(其中安全 Shell 使用 OpenSSL 的 FIPS 140 模式)不是缺省模式。作为管理员,您必须显式启用安全 Shell 以在 FIPS 140 模式下运行。可以使用命令 ssh -o "UseFIPS140 yes" remote-host 调用 FIPS 140 模式。此外,还可以在配置文件中设置关键字。
简而言之,此实现由以下项组成:
以下经 FIPS 140 认可的加密算法在服务器和客户端可用:aes128-cbc、aes192-cbc 和 aes256-cbc。
3des-cbc 在客户端缺省可用,但由于潜在的安全风险,它不在服务器端的加密算法列表中。
以下经 FIPS 140 认可的消息验证代码 (Message Authentication Code, MAC) 可用:
hmac-sha1、hmac-sha1-96
hmac-sha2-256、hmac-sha2-256-96
hmac-sha2-512、hmac-sha2-512-96
支持四种服务器-客户机配置:
客户端和服务器端均没有 FIPS 140 模式
客户端和服务器端均有 FIPS 140 模式
服务器端有 FIPS 140 模式,客户端没有
客户端有 FIPS 140 模式,服务器端没有
ssh-keygen 命令有一个选项用来生成在 FIPS 模式下安全 Shell 客户机需要的处于 PKCS #8 格式的用户私钥。有关更多信息,请参见 ssh-keygen(1) 手册页。
有关 FIPS 140 的更多信息,请参见Using a FIPS 140 Enabled System in Oracle Solaris 11.2 。另请参见 sshd(1M)、sshd_config(4)、ssh(1) 和 ssh_config(4) 手册页。
使用 Sun Crypto Accelerator 6000 卡进行安全 Shell 操作时,安全 Shell 在第 3 级 FIPS 140 支持下运行。第 3 级硬件经过认证,可抵御物理篡改,使用基于身份的验证,并将处理关键安全参数的接口同硬件的其他接口隔离。