test

Sun Guía de Sun Enterprise Authentication Mechanism

Restricción del acceso a los servidores KDC

Tanto los servidores KDC maestros como los esclavos tienen copias de la base de datos del KDC almacenadas localmente. La restricción del acceso a estos servidores para que sean seguras las bases de datos es importante para la seguridad global de la instalación de SEAM.

  1. Inhabilite los servicios remotos en /etc/inetd.conf.

    Para proporcionar un servidor KDC seguro, deben inhabilitarse todos los servicios de red no esenciales convirtiendo en comentario la entrada que los inicia en /etc/inetd.conf. En la mayoría de circunstancias, los únicos servicios que deben ejecutarse son time y krdb5_kprop. Además, se puede dejar habilitado cualquier servicio que utilice tli de bucle (ticlts, ticotsord y ticots). Después de la edición, el archivo debe tener un aspecto similar a éste (para acortar el ejemplo, se han eliminado muchos comentarios):


    kdc1 # cat /etc/inetd.conf
# #ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */ . .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed 
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd 
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd 
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd 
# 
# El servicio de hora se utiliza para la sincronización de los relojes. 
# 
time      stream  tcp     nowait  root    internal 
time      dgram   udp     wait    root    internal 
# 
. 
. 
# 
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd 
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd 
100134/1 tli rpc/ticotsord wait   root    /usr/krb5/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd     ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A 
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

    Reinicie el servidor después de hacer los cambios.

  2. Restrinja el acceso al hardware que admite el KDC.

    Para poder restringir el acceso físico, asegúrese de que el servidor y su monitor están situados en un lugar seguro. Los usuarios normales no deben poder acceder a este servidor de ningún modo.

  3. Almacene las copias de seguridad de las bases de datos de KDC en discos locales o en los esclavos.

    Sólo deben realizarse copias de seguridad en cinta de su KDC si se almacenan las cintas de forma segura. Esto también es aplicable para las copias de los archivos de tabla de claves. Es preferible almacenar estos archivos en un sistema de archivos local que no esté compartido con otros sistemas. El sistema de archivos de almacenamiento puede estar en el servidor KDC maestro o en cualquiera de los esclavos.