test

Sun 企業辯證機制使用指南

增進安全

這些程序列出您可以用來在 SEAM 應用程式伺服器及 KDC 伺服器之上增進安全的步驟。

如何只啟用 Kerberos 化應用程式

此程序將使用 telnetftprcprsh、及 rlogin 的伺服器之網路存取權限限於僅有 Kerberos 辯證的交換。

  1. 編輯 /etc/inetd.conf 中的 telnet 項目。

    -a user選項新增至 telnet 項目,以將存取權限限制在那些可以提供有效辯證資訊的使用者。


    telnet stream  tcp     nowait  root    /usr/krb5/lib/telnetd  telnetd -a user

  2. 編輯 /etc/inetd.conf 中的 ftp 項目。

    -a 選項新增至 ftp 項目中,只許可由 Kerberos 辯證的連線。


    ftp stream  tcp     nowait  root    /usr/krb5/lib/ftpd    ftpd -a

  3. 停用 /etc/inetd.conf 中的其他服務之 Solaris 項目。

    shelllogin 的項目必須被加註刪掉或移除


    # shell   stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
# login   stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind

如何限制 KDC 伺服器的存取權限

主及從屬 KDC 伺服器都有本機貯存的 KDC 資料庫副本。限制這些伺服器的存取權限以保持資料庫的安全,對 SEAM 安裝的整體安全性而言非常重要。

  1. 停用 /etc/inetd.conf 中的遠端服務。

    要提供一個安全的 KDC 伺服器,就必須加註刪掉開始/etc/inetd.conf 中服務的項目,以停用所有不屬於關鍵性的網路服務。大部份的情況下,只有 timekrdb5_kprop 這兩個服務需要執行。此外,任何使用迴環 tli(ticltsticotsord、及 ticots)的服務都可以保留啟用狀態。在編輯之後,檔案應該如下所示(已將許多註解移除以縮短範例)﹕


    kdc1 # cat /etc/inetd.conf
#
#ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */
  .
  .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd
#
# Time service is used for clock synchronization.
#
time      stream  tcp     nowait  root    internal
time      dgram   udp     wait    root    internal
# 
  .
  .
#
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd 
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd
100134/1 tli rpc/ticotsord wait   root    /usr/krb5/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd      ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

    在製作任何變更之後將伺服器重新開機。

  2. 限制支援 KDC 的硬體之存取權限。

    為了限制實際的存取,請確定伺服器及其顯示器都位於一個安全的設施。一般的使用者應該無法以任何方式來存取此伺服器。

  3. 在本機磁碟或從屬 KDC 之上貯存 KDC 資料庫備份。

    如果您可以妥善地貯存磁帶的話,才可以製作您 KDC 的磁帶備份。密鑰表檔案的副本也應如此處理。最好是將這些檔案貯存在其他系統無法分享的一個本機檔案系統之上。此貯存的檔案系統可以是一個主 KDC 伺服器或是任何的從屬 KDC。