test

Handbok för Sun Enterprise Authentication Mechanism

Så här begränsar du åtkomsten för KDC-servrar

Både huvud- och slav-KDC-servrarna har lokalt lagrade kopior av KDC-databasen. Att begränsa åtkomsten till dessa servrar så att databaserna är säkra har stor betydelse för SEAM-installationens totala säkerhet.

  1. Avaktivera fjärrtjänster i /etc/inetd.conf.

    För att uppnå en säker KDC-server bör alla nätverkstjänster som inte är nödvändiga avaktiveras genom att den post som startar tjänsten i /etc/inetd.conf kommenteras bort. I de flesta fall är tjänsterna time och krdb5_kprop de enda tjänster som behöver köras. Dessutom kan tjänster som använder loopback tli (ticlts, ticotsord och ticots) få förbli aktiverade. Efter redigering bör filen se ut ungefär så här (ett antal kommentarer har tagits bort för att korta ned exemplet):


    kdc1 # cat /etc/inetd.conf
#
#ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */
  .
  .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd
#
# Tidstjänsten används för klocksynkronisering.
#
time      stream  tcp     nowait  root    internal
time      dgram   udp     wait    root    internal
# 
  .
  .
#
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd 
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd
100134/1 tli rpc/ticotsord wait   root    /usr/krb5/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd      ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

    Starta om servern efter att ändringarna har införts.

  2. Begränsa åtkomsten till den maskinvara som stöder KDC.

    För att begränsa den fysiska åtkomsten bör servern och dess bildskärm placeras i ett säkert rum. Vanliga användare får inte kunna komma åt servern på något sätt.

  3. Lagra säkerhetskopior av KDC-databasen på de lokala hårddiskarna eller på slavservrarna.

    Gör endast säkerhetskopior på band av KDC:n om banden förvaras säkert. Detsamma gäller kopior av keytab-filer. Det bästa är att lagra dessa filer i ett lokalt filsystem som inte är utdelat till andra system. Filsystemet för lagringen kan antingen finnas på huvud-KDC-servern eller på någon av slavservrarna.