rpcbind 的 TCP 包装

该功能是在 Solaris Express 4/04 发行版中引入的。

对 TCP 包装的支持已被添加到 rpcbind 命令中。这一支持使管理员可将对 rpcbind 的调用局限于选定的主机。管理员还可以记录对 rpcbind 的所有调用。

有关详细信息，请参见 rpcbind(1M) 手册页。

zonename 审计标记和审计策略选项

Solaris Zones 分区技术是在 Solaris Express 2/04 发行版中引入的。请参见Solaris Zones 软件分区技术。Solaris Express 2/04 发行版还引入了此处描述的 zonename 的相关增强功能。

zonename 审计标记可记录发生审计事件的区域名称。对所有区域来说，zonename audit policy 选项确定了审计记录中是否包括 zonename 标记。如果预先选择审计类的条件随非全局区域的不同而不同，那么，您可能要按区域对审计记录进行分析。zonename 审计策略使您能够按区域对审计记录进行事后选择。

请参见《System Administration Guide: Security Services》中的 "Auditing and Solaris Zones"。

有关详细信息，请参见 audit.log(4)、auditconfig(1M) 和 auditreduce(1M) 手册页。另请参见《System Administration Guide: Solaris Containers--Resource Management and Solaris Zones》中的 "Using Solaris Auditing in Zones"。

Solaris 加密框架的用户命令

该功能是在 Solaris Express 1/04 发行版中引入的。

现在，digest、mac 和 encrypt 三个命令中都包括一个选项，该选项列出可用于每个命令的算法。对于 mac 和 encrypt 命令，其输出包括每种算法接受的密钥长度。此外，-I <IV-file> 选项已从 encrypt 和 decrypt 命令中删除。

有关详细信息，请参见《System Administration Guide: Security Services》中的第 14 章 "Solaris Cryptographic Framework (Tasks)" 和 "Protecting Files With the Solaris Cryptographic Framework"。

有关更多信息，请参见 encrypt(1)、digest(1) 和 mac(1) 手册页。

IKE 配置参数

该功能是在 Solaris Express 1/04 发行版中引入的。

重新传送参数和包超时参数已被添加到 /etc/inet/ike/config 文件中。这两种参数使管理员能够调节 IKE Phase 1（主模式）协商。通过这种调节，Solaris IKE 可以和各个平台交互操作，这些平台实现 IKE 协议的方式各不相同。这两种参数还可以帮助管理员对网络干扰和网络通信流量过大等现象进行调整。

有关这两种参数的详细描述，请参见 ike.config(4) 手册页。

简单身份验证和安全层

该功能是在 Solaris Express 12/03 发行版中引入的。

简单身份验证和安全层 (SASL) 为应用程序的开发者提供了一个接口，用于添加身份验证、检查数据完整性和对基于连接的协议进行加密。

有关详细信息，请参见面向开发者的简单验证和安全层。

另请参见《System Administration Guide: Security Services》中的第 17 章 "Using SASL"。

现在使用 ISO 8601 格式报告审计时间

该功能是在 Solaris Express 12/03 发行版中引入的。

审计记录中的文件和文件头标记现在使用 ISO 8601 格式报告时间。例如，praudit 命令对于文件标记的输出如下：

file,Mon Oct  13 11:21:35 PDT 2003, + 506 msec, 
/var/audit/20031013175058.20031013182135.machine1

file,2003-10-13 11:21:35.506 -07:00, 
/var/audit/20031013175058.20031013182135.machine1

header,173,2,settppriv(2),,machine1,
Mon Oct 13 11:23:31 PDT 2003, + 50 msec

header,173,2,settppriv(2),,machine1,
2003-10-13 11:23:31.050 -07:00

XML 输出也有所更改。例如，在 praudit -x 命令的输出中，文件标记的格式如下：

<file iso8601="2003-10-13 11:21:35.506 -07:00">
/var/audit/20031013175058.20031013182135.machine1</file>

解析 praudit 输出的自定义脚本或工具也可能需要更新，以适应这种变化。

有关详细信息，请参见《System Administration Guide: Security Services》第 27 章 "Solaris Auditing (Overview)" 和 "Changes to Solaris Auditing for the Solaris 10 Release"。

基本审计和报告工具

该功能是在 Solaris Express 11/03 发行版中引入的。

基本审计和报告工具 (BART) 是一种命令行实用程序，它使 OEM、高级用户和系统管理员能够在目标系统软件目录的文件层执行检查操作。该实用程序可用于收集有关系统已安装了哪些内容的信息。BART 还使您能够对已安装的系统以及系统内容随时间的变化情况进行比较。

有关详细信息，请参见《System Administration Guide: Security Services》第 5 章 "Using the Basic Audit Reporting Tool (Tasks)"。

另请参见 bart_manifest(4)、bart_rules(4) 和 bart(1M) 手册页。

IPsec 和 Solaris 加密框架

该功能是在 Solaris Express 9/03 发行版中引入的。

IPsec 使用 Solaris 加密框架取代其加密和验证模块。这些模块已针对 SPARC 平台进行优化。此外，还提供了新的 ipsecalgs 命令行实用程序和 API，用于查询支持的 IPsec 算法和其他 IPsec 属性的列表。

有关详细信息，请参见 ipsecalgs(1M) 手册页。

请参见《System Administration Guide: IP Services》第 17 章 "IP Security Architecture (Overview)" 和 "Authentication and Encryption Algorithms in IPsec"。

供系统管理员使用的 Solaris 加密框架

该功能是在 Software Express pilot 程序中引入的。

Solaris 加密框架为 Solaris 环境中的应用程序提供了加密服务。系统管理员通过 cryptoadm 命令对可用的加密算法进行控制。使用 cryptoadm 命令可以实现下列功能：

• 管理可用的加密服务提供器

• 设置加密安全策略，如禁用特定提供器的算法

AES、DES/3DES、RC4、MD5、SHA-1、DSA、RSA 插件和 Diffie-Hellman 算法与该加密框架一同提供。可以根据需要添加或删除插件。

encrypt、decrypt、digest 和 mac 命令都使用该加密框架中的加密算法。

有关详细信息，请参见《System Administration Guide: Security Services》第 13 章 "Solaris Cryptographic Framework (Overview)"。

另请参见以下手册页：

• cryptoadm(1M)

• kcfd(1M)

• libpkcs11(3LIB)

• pkcs11_kernel(5)

• pkcs11_softtoken(5)