执行以下步骤以增强 Kerberos 应用程序服务器和 KDC 服务器的安全性。
此过程限制对正在运行 telnet、ftp、rcp、rsh 和 rlogin 的服务器的网络访问,以便仅执行经过 Kerberos 验证的事务。
更改 telnet 服务的 exec 属性。
将 -a user 选项添加到 telnet 的 exec 属性,以将访问权限限制为可以提供有效验证信息的那些用户。
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user" |
(可选的)如果尚未配置,则更改 telnet 服务的 exec 属性。
将 -a 选项添加到 ftp 的 exec 属性,以仅允许经过 Kerberos 验证的连接。
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a" |
禁用其他服务。
应禁用 in.rshd 和 in.rlogind 守护进程。
# svcadm disable network/shell # svcadm disable network/login:rlogin |
主 KDC 服务器和从 KDC 服务器都包含存储在本地的 KDC 数据库副本。限制对这些服务器的访问(以便保证数据库安全)对于 Kerberos 安装的整体安全非常重要。
根据需要,禁用远程服务。
要提供安全的 KDC 服务器,应禁用所有不必要的网络服务。根据配置不同,可能已禁用其中某些服务。使用 svcs 命令检查服务状态。在大多数情况下,只需运行 time 和 krdb5_kprop 服务。此外,使用回送 TLI(ticlts、ticotsord 和 ticots)的任何服务可以保持启用状态。
# svcadm disable network/comsat # svcadm disable network/dtspc/tcp # svcadm disable network/finger # svcadm disable network/login:rlogin # svcadm disable network/rexec # svcadm disable network/shell # svcadm disable network/talk # svcadm disable network/tname # svcadm disable network/uucp # svcadm disable network/rpc_100068_2-5/rpc_udp |
限制对支持 KDC 的硬件的访问。
要限制物理访问,请确保 KDC 服务器及其监视器位于安全的设备中。用户应不能以任何方式访问此服务器。
在本地磁盘或从 KDC 上存储 KDC 数据库备份。
仅在可以安全存储磁带时创建 KDC 的磁带备份。该做法同样适用于创建密钥表文件的副本。最好在未与其他系统共享的本地文件系统上存储这些文件。存储文件系统可以位于主 KDC 服务器或任何从 KDC 上。