主及從屬 KDC 伺服器都有本機貯存的 KDC 資料庫副本。限制這些伺服器的存取權限以保持資料庫的安全,對 SEAM 安裝的整體安全性而言非常重要。
停用 /etc/inetd.conf 中的遠端服務。
要提供一個安全的 KDC 伺服器,就必須加註刪掉開始/etc/inetd.conf 中服務的項目,以停用所有不屬於關鍵性的網路服務。大部份的情況下,只有 time 及 krdb5_kprop 這兩個服務需要執行。此外,任何使用迴環 tli(ticlts、ticotsord、及 ticots)的服務都可以保留啟用狀態。在編輯之後,檔案應該如下所示(已將許多註解移除以縮短範例)﹕
kdc1 # cat /etc/inetd.conf # #ident "@(#)inetd.conf 1.33 98/06/02 SMI" /* SVr4.0 1.5 */ . . #name dgram udp wait root /usr/sbin/in.tnamed in.tnamed # #shell stream tcp nowait root /usr/sbin/in.rshd in.rshd #login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind #exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd #comsat dgram udp wait root /usr/sbin/in.comsat in.comsat #talk dgram udp wait root /usr/sbin/in.talkd in.talkd # #uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd # #finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd # # Time service is used for clock synchronization. # time stream tcp nowait root internal time dgram udp wait root internal # . . # 100234/1 tli rpc/ticotsord wait root /usr/lib/gss/gssd gssd #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd #100068/2-5 dgram rpc/udp wait root /usr/dt/bin/rpc.cmsd rpc.cmsd 100134/1 tli rpc/ticotsord wait root /usr/krb5/lib/ktkt_warnd kwarnd #klogin stream tcp nowait root /usr/krb5/lib/rlogind rlogind -k #eklogin stream tcp nowait root /usr/krb5/lib/rlogind rlogind -k -e #telnet stream tcp nowait root /usr/krb5/lib/telnetd telnetd #ftp stream tcp nowait root /usr/krb5/lib/ftpd ftpd #kshell stream tcp nowait root /usr/krb5/lib/rshd rshd -k -c -A krb5_prop stream tcp nowait root /usr/krb5/lib/kpropd kpropd |
在製作任何變更之後將伺服器重新開機。
限制支援 KDC 的硬體之存取權限。
為了限制實際的存取,請確定伺服器及其顯示器都位於一個安全的設施。一般的使用者應該無法以任何方式來存取此伺服器。
在本機磁碟或從屬 KDC 之上貯存 KDC 資料庫備份。
如果您可以妥善地貯存磁帶的話,才可以製作您 KDC 的磁帶備份。密鑰表檔案的副本也應如此處理。最好是將這些檔案貯存在其他系統無法分享的一個本機檔案系統之上。此貯存的檔案系統可以是一個主 KDC 伺服器或是任何的從屬 KDC。