如何为 KDC 服务器限定访问

主KDC 和从 KDC 服务器两者均将KDC 数据库的副本存储在本地。限定对这些服务器的访问，以便保证数据库的安全，对SEAM 安装的整体安全是十分重要的。

1. 在 /etc/inetd.conf 中禁用远程服务。

   为了提供一个安全的 KDC 服务器，应当通过将 /etc/inetd.conf 中用于启动服务的条目变为注释，禁用所有的非紧要的网络服务。在大多数情况下，需要运行的服务只有 time 和 krdb5_kprop。另外，任何使用 loopback tli 的服务 (ticlts、ticotsord和 ticots)，均可以保持其启用状态。编辑之后，文件应当看似如下 (为缩短示例，许多说明已被去除):

   kdc1 # cat /etc/inetd.conf # #ident "@(#)inetd.conf 1.33 98/06/02 SMI" /* SVr4.0 1.5 */ . . #name dgram udp wait root /usr/sbin/in.tnamed in.tnamed # #shell stream tcp nowait root /usr/sbin/in.rshd in.rshd #login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind #exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd #comsat dgram udp wait root /usr/sbin/in.comsat in.comsat #talk dgram udp wait root /usr/sbin/in.talkd in.talkd # #uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd # #finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd # # Time service is used for clock synchronization. # time stream tcp nowait root internal time dgram udp wait root internal # . . # 100234/1 tli rpc/ticotsord wait root /usr/lib/gss/gssd gssd #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd #100068/2-5 dgram rpc/udp wait root /usr/dt/bin/rpc.cmsd rpc.cmsd 100134/1 tli rpc/ticotsord wait root /usr/krb5/lib/ktkt_warnd kwarnd #klogin stream tcp nowait root /usr/krb5/lib/rlogind rlogind -k #eklogin stream tcp nowait root /usr/krb5/lib/rlogind rlogind -k -e #telnet stream tcp nowait root /usr/krb5/lib/telnetd telnetd #ftp stream tcp nowait root /usr/krb5/lib/ftpd ftpd #kshell stream tcp nowait root /usr/krb5/lib/rshd rshd -k -c -A krb5_prop stream tcp nowait root /usr/krb5/lib/kpropd kpropd

   进行变更之后重新引导服务器。

2. 限定对支持 KDC 的硬件的访问。

   为了能够限定物理访问，请确保服务器及其监视器位于一个安全的设施。常规用户不应能够以任何方式访问该服务器。

3. 将 KDC 数据库备份存储在本地磁盘或者从 KDC 上。

   只有在磁带可以得到安全存储时，才应当制作您的 KDC 的磁带备份。制作密钥表文件的副本也是这样。最好将这些文件存储在一个没有共享到其它系统的本地文件系统上。存储文件系统既可以是在主 KDC 服务器上，也可以是在任意一个从 KDC 上。