增强 Kerberos 服务器的安全性

执行以下步骤可以增强 Kerberos 应用服务器和 KDC 服务器的安全性。

表 23-4 增强 Kerberos 服务器的安全性（任务列表）

任务	说明	参考
启用使用 Kerberos 验证的访问	限制对服务器的网络访问，以仅允许 Kerberos 验证。	如何仅启用基于 Kerberos 的应用程序
限制对 KDC 服务器的访问	增强 KDC 服务器及其数据的安全性。	如何限制对 KDC 服务器的访问
使用字典文件，增强口令的安全性	依据字典检查新口令，以增强其安全性。	如何使用字典文件提高口令的安全性

如何仅启用基于 Kerberos 的应用程序

此过程限制对运行 telnet、ftp、rcp、rsh 和 rlogin 的服务器的网络访问，以仅使用通过 Kerberos 验证的事务。

更改 telnet 服务的 exec 属性。
将 -a user 选项添加到 telnet 的 exec 属性，以将访问限于可以提供有效验证信息的用户。
```
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
```
可选如果尚未配置，请更改 telnet 服务的 exec 属性。
将 -a 选项添加到 ftp 的 exec 属性，以仅允许通过 Kerberos 验证的连接。
```
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
```

禁用其他服务。

应禁用 in.rshd 和 in.rlogind 守护进程。

# svcadm disable network/shell
# svcadm disable network/login:rlogin

如何限制对 KDC 服务器的访问

主 KDC 服务器和从 KDC 服务器都包含存储在本地的 KDC 数据库的副本。限制对这些服务器的访问以保证数据库安全对于 Kerberos 安装的整体安全性非常重要。

根据需要，禁用远程服务。
要提供安全的 KDC 服务器，应禁用所有不必要的网络服务。根据配置的不同，可能已禁用其中某些服务。使用 svcs 命令检查服务状态。在大多数情况下，如果 KDC 是主 KDC 服务器，只需运行 krb5kdc 和 kadmin 服务。此外，使用回送 TLI（ticlts、ticotsord 和 ticots）的任何服务可以保持启用状态。
```
# svcadm disable network/comsat
# svcadm disable network/dtspc/tcp
# svcadm disable network/finger
# svcadm disable network/login:rlogin
# svcadm disable network/rexec
# svcadm disable network/shell
# svcadm disable network/talk
# svcadm disable network/tname
# svcadm disable network/uucp
# svcadm disable network/rpc_100068_2-5/rpc_udp
```
限制对支持 KDC 的硬件的访问。
要限制物理访问，请确保 KDC 服务器及其监视器位于安全场所。用户不应能够以任何方式访问此服务器。
将 KDC 数据库备份存储在本地磁盘或从 KDC 服务器上。
仅在可以安全存储磁带时才应创建 KDC 的磁带备份。此做法同样适用于密钥表文件的备份。最好在不与其他系统共享的本地文件系统上存储这些文件。存储文件系统可以位于主 KDC 服务器或任何从 KDC 服务器上。

如何使用字典文件提高口令的安全性

Kerberos 服务可以使用字典文件来防止在创建新凭证时将字典中的词用作口令。防止将字典术语用作口令可以让其他人更难猜到口令。缺省情况下使用 /var/krb5/kadm5.dict 文件，但它是空的。

成为主 KDC 服务器上的超级用户。

编辑 KDC 配置文件 (kdc.conf)。

您需要添加一个行来指示该服务使用字典文件。在此示例中，使用包括在 spell 实用程序中的字典。有关配置文件的完整说明，请参见 kdc.conf(4) 手册页。

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM = {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
                sunw_dbprop_master_ulogsize = 1000
                dict_file = /usr/share/lib/dict/words
                }

重新启动 Kerberos 守护进程。

kdc1 # svcadm restart -r network/security/krb5kdc
kdc1 # svcadm restart -r network/security/kadmin

跳过导航链接
退出打印视图
	系统管理指南：安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文)