SASL(参考)
第17 章• 使用SASL 309
310
使用Solaris 安全Shell(任务)
使用Solaris 安全Shell,用户可以通过不安全的网络安全地访问远程主机。该shell 提供了用
于远程登录和远程文件传输的命令。本章包含以下主题:
� 第311 页中的“Solaris 安全Shell(概述)”
� 第314 页中的“Solaris 10 发行版中Solaris 安全Shell 的增强功能”
� 第315 页中的“配置Solaris 安全Shell(任务列表)”
� 第319 页中的“使用Solaris 安全Shell(任务列表)”
有关参考信息,请参见第19 章。
Solaris 安全Shell(概述)
在Solaris 安全Shell 中,提供了使用口令、公钥,或同时使用二者的验证。所有网络通信都
将被加密。因此,Solaris 安全Shell 可防止可能的入侵者读取被拦截的通信。Solaris 安全
Shell 还可防止入侵者欺骗系统。
Solaris 安全Shell 还可用作即时virtual private network, VPN(虚拟专用网络)。VPN 可以转
发X 窗口系统通信,或通过加密的网络链路连接本地计算机和远程计算机之间的各个端口
号。
使用Solaris 安全Shell,可以执行以下操作:
� 通过不安全的网络安全地登录到其他主机。
� 在两台主机之间安全地复制文件。
� 在远程主机上安全地运行命令。
Solaris 安全Shell 支持两种版本的安全Shell 协议。版本1 是协议的原始版本。版本2 更安
全,该版本修正了版本1 的一些基本安全设计缺陷。版本1 仅提供用于协助用户迁移到版本
2。强烈建议用户不要使用版本1。
18 第1 8 章
311
注– 在下文中,v1 用于表示版本1,v2 用于表示版本2。
Solaris 安全Shell 验证
Solaris 安全Shell 提供公钥和口令方法来验证与远程主机的连接。公钥验证是一种比口令验
证更强大的验证机制,因为私钥从不通过网络传送。
请按以下顺序尝试这些验证方法。如果配置不满足验证方法的要求,请尝试下一种方法。
� GSS-API-使用mech_krb5 (Kerberos V) 和mech_dh (AUTH_DH) 等GSS-API 机制的凭证来
验证客户机和服务器。有关GSS-API 的更多信息,请参见《Solaris Security for Developers
Guide》中的“Introduction to GSS-API”。
� 基于主机的验证-使用主机密钥和rhosts 文件。使用客户机的RSA和DSA公共/专用主
机密钥验证客户机。使用rhosts 文件向用户授权使用客户机。
� 公钥验证-验证用户的RSA和DSA公钥/私钥。
� 口令验证-使用PAM验证用户。v2 中的键盘验证方法允许PAM的任意提示。有关更多
信息,请参见sshd(1M) 手册页中的SECURITY 部分。
下表显示了验证正在尝试登录到远程主机的用户的要求。该用户位于本地主机(客户机)
上。远程主机(服务器)正在运行sshd 守护进程。下表显示了Solaris 安全Shell 验证方法、
兼容的协议版本和主机要求。
表18–1 Solaris 安全Shell 的验证方法
验证方法(协议版本) 本地主机(客户机)要求远程主机(服务器)要求
GSS-API (v2) GSS 机制的启动器凭证。GSS 机制的接收器凭证。有关更多信息,请参见
第332 页中的“获取Solaris 安全Shell 中的GSS
凭证”。
基于主机(v2) 用户帐户
/etc/ssh/ssh_host_rsa_key 或
/etc/ssh/ssh_host_dsa_key 中的本地主机私钥
/etc/ssh/ssh_config 中的
HostbasedAuthentication yes
用户帐户
/etc/ssh/known_hosts 或~/.ssh/known_hosts 中
的本地主机公钥
/etc/ssh/sshd_config 中的
HostbasedAuthentication yes
/etc/ssh/sshd_config 中的IgnoreRhosts no
/etc/shosts.equiv、/etc/hosts.equiv、
~/.rhosts 或~/.shosts 中的本地主机项
Solaris 安全Shell(概述)
312 系统管理指南:安全性服务• 2006 年9 月
表18–1 Solaris 安全Shell 的验证方法(续)
验证方法(协议版本) 本地主机(客户机)要求远程主机(服务器)要求
RSA或DSA公钥(v2) 用户帐户
~/.ssh/id_rsa 或~/.ssh/id_dsa 中的私钥
~/.ssh/id_rsa.pub 或~/.ssh/id_dsa.pub 中的
用户公钥
用户帐户
~/.ssh/authorized_keys 中的用户公钥
RSA公钥(v1) 用户帐户
~/.ssh/identity 中的私钥
~/.ssh/identity.pub 中的用户公钥
用户帐户
~/.ssh/authorized_keys 中的用户公钥
键盘交互(v2) 用户帐户用户帐户
支持PAM,包括触发口令生命期后的任意提示
和口令更改。
基于口令(v1 或v2) 用户帐户用户帐户
支持PAM。
仅.rhosts (v1) 用户帐户用户帐户
/etc/ssh/sshd_config 中的IgnoreRhosts no
/etc/shosts.equiv、/etc/hosts.equiv、
~/.shosts 或~/.rhosts 中的本地主机项
仅在服务器上使用RSA
(v1) 的.rhosts
用户帐户
/etc/ssh/ssh_host_rsa1_key 中的本地主机公
钥
用户帐户
/etc/ssh/ssh_known_hosts 或
~/.ssh/known_hosts 中的本地主机公钥
/etc/ssh/sshd_config 中的IgnoreRhosts no
/etc/shosts.equiv、/etc/hosts.equiv、
~/.shosts 或~/.rhosts 中的本地主机项
企业中的Solaris 安全Shell
有关Solaris 系统中的安全Shell 的全面介绍,请参见由Jason Reid 编著的《Secure Shell in the
Enterprise》,2003 年6 月出版,ISBN 为0-13-142900-0。该书是Sun Microsystems Press 出版
的Sun BluePrints 丛书的一部分。
有关联机信息,请导航至Sun 的BigAdmin System Administration Portal 网站
。单击docs.sun.com,然后在Other documentation sites 下单击
Sun BluePrints。然后依次单击Archives by Subject 和Security。该文档集包括以下文章:
� 《Role Based Access Control and Secure Shell –ACloser Look At Two Solaris Operating
Environment Security Features》
� 《Integrating the Secure Shell Software》
阅读(410) | 评论(0) | 转发(0) |
