test

Sun Enterprise Authentication Mechanism Handbuch

So schränken Sie den Zugriff für KDC-Server ein

Sowohl der Master- als auch die KDC-Server haben lokal gespeicherte Kopien der KDC-Datenbank. Das Einschränken des Zugriffs auf diese Server, damit die Datenbanken sicher sind, ist für die Sicherheit der gesamten SEAM-Installation von Bedeutung.

  1. Deaktivieren Sie entfernte Services in /etc/inetd.conf.

    Um einen sicheren KDC-Server bereitzustellen, sollten alle unwesentlichen Netzwerk-Services deaktiviert werden, indem Sie den jeweiligen Eintrag in der Datei /etc/inetd.conf auskommentieren, durch den der Service gestartet wird. In den meisten Situationen wären time und krdb5_kprop die einzigen Services, die ausgeführt werden müßten. Außerdem können alle Services, die Loopback-tli (ticlts, ticotsord und ticots) verwenden, aktiviert bleiben. Nach der Bearbeitung sollte die Datei ungefähr so aussehen (um das Beispiel kürzer zu machen, wurden viele Kommentare entfernt):


    kdc1 # cat /etc/inetd.conf
#
#ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */
  .
  .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd
#
# Time-Service wird zur Uhrsynchronisierung verwendet
#
time      stream  tcp     nowait  root    internal
time      dgram   udp     wait    root    internal
# 
  .
  .
#
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd 
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd
100134/1 tli rpc/ticotsord wait   root    /usr/krb5/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd      ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

    Starten Sie den Server neu, nachdem die Änderungen vorgenommen wurden.

  2. Schränken Sie den Zugriff auf die Hardware ein, die das KDC unterstützt.

    Um den physikalischen Zugriff einzuschränken, stellen Sie sicher, daß der Server und sein Monitor in einem sicheren Gebäude untergebracht sind. Normale Benutzer sollten sowieso keinen Zugang zu diesem Server haben.

  3. Speichern Sie die Sicherungen der KDC-Datenbank auf lokalen Platten oder auf den Slaves.

    Bandsicherungen des KDC sollten durchgeführt werden, wenn die Bänder sicher verwahrt werden. Das gilt auch für Kopien von Schlüsseltabellendateien. Am besten sollten diese Dateien auf einem lokalen Dateisystem gespeichert werden, das für keine anderen Systeme freigegeben ist. Das Dateisystem des Speichers kann sich entweder auf dem Master-KDC-Server oder auf einem der Slaves befinden.