test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Augmentation de la sécurité

Ces procédures présentent les étapes permettant d'augmenter la sécurité sur les serveurs d'applications SEAM et les serveurs KDC.

Comment activer uniquement les applications compatibles Kerberos

Cette procédure limite l'accès réseau au serveur en utilisant telnet, ftp, rcp, rsh et rlogin pour des transactions authentifiées par Kerberos seulement.

  1. Éditez l'entrée telnet dans /etc/inetd.conf.

    Ajoutez l'option -a user à l'entrée telnet afin de limiter l'accès aux utilisateurs pouvant fournir des informations d'authentification valides.


    telnet stream  tcp     nowait  root    /usr/krb5/lib/telnetd  telnetd -a user

  2. Éditez l'entrée ftp dans /etc/inetd.conf.

    Ajoutez l'option -a à l'entrée ftp afin de ne permettre que les connexions authentifiées par Kerberos.


    ftp stream  tcp     nowait  root    /usr/krb5/lib/ftpd    ftpd -a

  3. Désactivez les entrées Solaris pour les autres services dans /etc/inetd.conf.

    Les entrées de shell et login doivent être transformées en commentaire ou supprimées.


    # shell   stream  tcp     nowait  root    /usr/sbin/in.rshd
                                      in.rshd
# login   stream  tcp     nowait  root    /usr/sbin/in.rlogind
                     in.rlogind

Comment limiter l'accès aux serveurs KDC

Les serveurs KDC maître et esclaves possèdent des copies locales de la base de données KDC. Il est important pour la sécurité globale de l'installation SEAM de limiter l'accès à ces serveurs afin que les bases de données soient sécuritaires.

  1. Désactivez les services distants dans /etc/inetd.conf.

    Pour qu'un serveur KDC soit sécuritaire, vous devriez désactiver tous les services réseau non essentiels en transformant en commentaire l'entrée qui lance le service dans /etc/inetd.conf. Dans la plupart des cas, les seuls services devant être exécutés sont time et krdb5_kprop. En outre, tout service utilisant le rebouclage tli (ticlts, ticotsord et ticots) peut demeurer activé. Après l'édition, le fichier devrait ressembler à ceci (pour abréger l'exemple, de nombreux commentaires ont été éliminés) :


    kdc1 # cat /etc/inetd.conf
#
#ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */
  .
  .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd
#
# Le service Time est utilisé pour la synchronisation d'horloge.
#
time      stream  tcp     nowait  root    internal
time      dgram   udp     wait    root    internal
#
 .
 .
#
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd 
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd
100134/1 tli rpc/ticotsord wait   root    /usr/krb5/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd      ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

    Réinitialisez le serveur après avoir apporté les modifications.

  2. Limitez l'accès au matériel prenant en charge le KDC.

    Afin de limiter l'accès physique, assurez-vous que le serveur et son moniteur se situent dans un endroit sûr. Les utilisateurs ordinaires ne devraient pas pouvoir accéder au serveur.

  3. Enregistrez les sauvegardes de base de données KDC sur des disques locaux ou sur les esclaves.

    Vous ne devriez effectuer une sauvegarde sur bande que si les bandes sont conservées dans un endroit sûr. Cela vaut également pour les copies des fichiers de table de clés. Il est préférable de conserver ces fichiers sur un système de fichiers local non partagé avec d'autres systèmes. Le système de fichiers de stockage peut résider sur le serveur KDC maître ou sur un des esclaves.