Solaris服务器系统的安全与其加密体系密切相关 。Solaris加密体系(Cryptographic Framework)以无缝透明的形式向用户提供应用和内核模块的加密服务,用户应用很少察觉到,也很少受到干扰 。密码体系中包括命令、用户程序编程接口、内核编程接口和优化加密算法的程序 。
Solaris 加密框架中的管理命令:cryptoadm 命令 。该命令管理正在运行的加密框架 。该命令是加密管理权限配置文件的一部分 。可以将此配置文件指定给用于安全管理加密框架的角色 。使用命令cryptoadm list 如图 -1。
【加密命令保证Solaris服务器的安全】图 -1查看系统可用的加密服务
从图 -1 可以看到Solaris加密体系提供了下面几个类型的加密算法: 用户级的提供者; 内核软件提供者; 内核硬件提供者 。对于一般用户来说,只有用户级的加密机制才有可能被使用 。
如果希望列出系统中可以应用的加密机制 。使用命令:cryptoadm list -p 如图2。
图 2 列出系统中可以应用的加密机制
查看所有的加密机制 。使用命令cryptoadm list -m。
一、增添软件的加密服务的步骤
增添PKCS#11加密库 。
(1)安装软件包:
# pkgadd -d /path/to/package pkginst
(2)刷新系统加密服务:
# svCADm refresh system/cryptosvc
(3)查看加密列表,PKCS#11加密库已经在列表中:
# cryptoadm list
如何关闭加密服务
对于软件、硬件和内核加密服务来说,关闭的命令是一样的 。我们只举一个例子说明 。
关闭内核中DES加密 。
(1)查看有无des加密服务:
$ cryptoadm list -m provider=des
(2)查看aes加密服务是否启动:
$ cryptoadm list -p provider=des
(3)使用disable关闭加密服务:
$ cryptoadm disable provider=aes mechanism=CKM_DES_ECB
(4)查看des服务是否已经关闭:
$ cryptoadm list -p provider=des
以上四个操作步骤如图 3。
图 3关闭内核中DES加密
二、 使用加密方法来保护系统文件的步骤
用户可以将自己的文件以加密的方式存储,尽管这些文件对于超级用户还是可读的,但内容确是超级用户无法识别的 。因为,此时的文件内容已经被加密算法打乱了,只有用户才可以通过解密算法来恢复文件的内容 。文件在传输的过程中能否保持与原来文件的内容一致,我们如何察觉到传递的文件已经被别人修改过了?有两种方法可以验证文件的一致性:数字签名 。消息身份验证代码 。
1.产生对称密钥
密钥是控制加密算法和解密算法的关键信息,它的产生、传输、存储等工作是十分重要的 。对称密钥是无论加密还是解密都采用一个密钥 。密钥的产生最好是随机产生的 。下面我们介绍使用dd命令和/dev/urandom设备随机产生的密钥的方法 。
(1)在产生密钥前需要了解系统中加密算法所支持的密钥长度 。
首先显示数字签名算法,如图 -4。
图 -4 首先显示数字签名算法
显示Mac机制:
使用命令: mac -l
我们只需要在最大值和最小值之间取一个长度数值就可以了 。比如对于sha1_hmac和md5_hmac来说,我们可以取的密钥长度是8、16、64等 。
(2)创建用于 DES 算法的密钥
在以下示例中,将创建用于 DES 算法的密钥 。也将存储该密钥用于以后的解密 。DES 机制使用 64 位的密钥 。该密钥在 dd 命令中表示为 8 字节 。
#dd if=/dev/urandom of=$HOME/keyf/05.07.des8 bs=8 count=1
(3)保存密钥,修改权限不让其他用户读取 。
% chmod 400 ~/keyf/05.07.des8
2.检查文件的完整性的步骤
检查文件的完整性有下面两种方法 。
推荐阅读
- 未中标的人是否能退还投标保证金
- Sun Solaris 命令格式
- SUN Solaris 通信命令
- SUN Solaris 系统命令
- SUN Solaris 其他命令
- Solaris dd 硬盘Copy命令
- Solaris Prom状态命令与参数
- crontab命令详解
- 电脑配置信息查询命令 电脑查配置的命令
- 1 Solaris的中文命令参考手册