Öka säkerheten

I de här procedurerna visas steg som du kan använda för att öka säkerheten för SEAM-programservrar och KDC-servrar.

Så här aktiverar du enbart Kerberos-anpassade program

Den här proceduren begränsar nätverksåtkomsten till servern via telnet, ftp, rcp, rsh och rlogin till endast Kerberos-verifierade transaktioner.

1. Redigera posten telnet i /etc/inetd.conf.

   Lägg till alternativet -a user till telnet-posten för att begränsa åtkomsten till de användare som kan uppvisa giltig verifieringsinformation.

   telnet stream tcp nowait root /usr/krb5/lib/telnetd telnetd -a user

2. Redigera posten ftp i /etc/inetd.conf

   Lägg till alternativet -a till ftp-posten för att endast tillåta Kerberos-verifierade anslutningar.

   ftp stream tcp nowait root /usr/krb5/lib/ftpd ftpd -a

3. Inaktivera Solaris-poster för övriga tjänster i /etc/inetd.conf.

   Posterna för shell och login måste vara bortkommenterade eller borttagna

   # shell stream tcp nowait root /usr/sbin/in.rshd in.rshd # login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind

Så här begränsar du åtkomsten för KDC-servrar

Både huvud- och slav-KDC-servrarna har lokalt lagrade kopior av KDC-databasen. Att begränsa åtkomsten till dessa servrar så att databaserna är säkra har stor betydelse för SEAM-installationens totala säkerhet.

1. Avaktivera fjärrtjänster i /etc/inetd.conf.

   För att uppnå en säker KDC-server bör alla nätverkstjänster som inte är nödvändiga avaktiveras genom att den post som startar tjänsten i /etc/inetd.conf kommenteras bort. I de flesta fall är tjänsterna time och krdb5_kprop de enda tjänster som behöver köras. Dessutom kan tjänster som använder loopback tli (ticlts, ticotsord och ticots) få förbli aktiverade. Efter redigering bör filen se ut ungefär så här (ett antal kommentarer har tagits bort för att korta ned exemplet):

   kdc1 # cat /etc/inetd.conf # #ident "@(#)inetd.conf 1.33 98/06/02 SMI" /* SVr4.0 1.5 */ . . #name dgram udp wait root /usr/sbin/in.tnamed in.tnamed # #shell stream tcp nowait root /usr/sbin/in.rshd in.rshd #login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind #exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd #comsat dgram udp wait root /usr/sbin/in.comsat in.comsat #talk dgram udp wait root /usr/sbin/in.talkd in.talkd # #uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd # #finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd # # Tidstjänsten används för klocksynkronisering. # time stream tcp nowait root internal time dgram udp wait root internal # . . # 100234/1 tli rpc/ticotsord wait root /usr/lib/gss/gssd gssd #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd #100068/2-5 dgram rpc/udp wait root /usr/dt/bin/rpc.cmsd rpc.cmsd 100134/1 tli rpc/ticotsord wait root /usr/krb5/lib/ktkt_warnd kwarnd #klogin stream tcp nowait root /usr/krb5/lib/rlogind rlogind -k #eklogin stream tcp nowait root /usr/krb5/lib/rlogind rlogind -k -e #telnet stream tcp nowait root /usr/krb5/lib/telnetd telnetd #ftp stream tcp nowait root /usr/krb5/lib/ftpd ftpd #kshell stream tcp nowait root /usr/krb5/lib/rshd rshd -k -c -A krb5_prop stream tcp nowait root /usr/krb5/lib/kpropd kpropd

   Starta om servern efter att ändringarna har införts.

2. Begränsa åtkomsten till den maskinvara som stöder KDC.

   För att begränsa den fysiska åtkomsten bör servern och dess bildskärm placeras i ett säkert rum. Vanliga användare får inte kunna komma åt servern på något sätt.

3. Lagra säkerhetskopior av KDC-databasen på de lokala hårddiskarna eller på slavservrarna.

   Gör endast säkerhetskopior på band av KDC:n om banden förvaras säkert. Detsamma gäller kopior av keytab-filer. Det bästa är att lagra dessa filer i ett lokalt filsystem som inte är utdelat till andra system. Filsystemet för lagringen kan antingen finnas på huvud-KDC-servern eller på någon av slavservrarna.