Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

So schränken Sie den Zugriff für KDC-Server ein

Sowohl der Master- als auch die KDC-Server verfügen über lokal gespeicherte Kopien der KDC-Datenbank. Das Einschränken des Zugriffs auf diese Server, damit die Datenbanken sicher sind, ist für die Sicherheit der gesamten SEAM-Installation von Bedeutung.

Deaktivieren Sie entfernte Dienste unter /etc/inetd.conf.

Um einen sicheren KDC-Server bereitzustellen, sollten alle unwesentlichen Netzwerk-Dienste deaktiviert werden, indem der Eintrag in der Datei /etc/inetd.conf auskommentiert wird, durch den der Dienst gestartet wird. In den meisten Fällen sind time und krdb5_kprop die einzigen Dienste, die ausgeführt werden müssen. Außerdem können alle Dienste, die Loopback-tli (ticlts, ticotsord und ticots) verwenden, aktiviert bleiben. Nach der Bearbeitung sollte die Datei ungefähr so aussehen (um das Beispiel kürzer zu machen, wurden viele Kommentare entfernt):

kdc1 # cat /etc/inetd.conf
#
#ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */
  .
  .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd
#
# Time-Service wird zur Uhrsynchronisierung verwendet
#
time      stream  tcp     nowait  root    internal
time      dgram   udp     wait    root    internal
# 
  .
  .
#
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd
100134/1 tli rpc/ticotsord wait   root    /usr/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd      ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

Starten Sie den Server neu, nachdem die Änderungen vorgenommen wurden.

Schränken Sie den Zugriff auf die Hardware ein, die das KDC unterstützt.

Um den physikalischen Zugriff einzuschränken, stellen Sie sicher, dass der Server und sein Monitor an einem sicheren Ort untergebracht sind. Normale Benutzer sollten grundsätzlich keinen Zugang zu diesem Server haben.

Speichern Sie die Sicherungen der KDC-Datenbank auf lokalen Platten oder auf den Slaves.

Bandsicherungen des KDCs sollten durchgeführt werden, wenn die Bänder sicher verwahrt werden. Das gilt auch für Kopien von Schlüsseltabellendateien. Am besten sollten diese Dateien auf einem lokalen Dateisystem gespeichert werden, das für keine anderen Systeme freigegeben ist. Das Dateisystem des Speichers kann sich entweder auf dem Master-KDC-Server oder auf einem der Slaves befinden.