セキュリティの強化

SEAM アプリケーションサーバーと KDC サーバーのセキュリティを強化するには、次の手順に従ってください。

KDC サーバーへのアクセスを制限する方法

マスター KDC およびスレーブ KDC には、KDC データベースのローカルコピーがあります。データベースを保護するためにこれらのサーバーへのアクセス権を制限することは、SEAM 全体のセキュリティにとって重要です。

1. /etc/inetd.conf ファイルでリモートサービスを無効にします。

   KDC サーバーをセキュリティ保護するために、 /etc/inetd.conf ファイル内でリモートサービスを起動するエントリをコメントにして、不要なネットワークサービスをすべて無効にします。ほとんどの環境では、time と krdb5_kprop サービス以外は、無効にしてかまいません。ループバック TLI を使用するサービス (ticlts、ticotsord、および ticots) は、有効にしておくことができます。編集後のファイルは、次のようになります (簡単に示すために、ほとんどのコメントは削除されている)。

   kdc1 # cat /etc/inetd.conf # #ident "@(#)inetd.conf 1.33 98/06/02 SMI" /* SVr4.0 1.5 */ . . #name dgram udp wait root /usr/sbin/in.tnamed in.tnamed # #shell stream tcp nowait root /usr/sbin/in.rshd in.rshd #login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind #exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd #comsat dgram udp wait root /usr/sbin/in.comsat in.comsat #talk dgram udp wait root /usr/sbin/in.talkd in.talkd # #uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd # #finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd # # Time サービスはクロック同期で使用される # time stream tcp nowait root internal time dgram udp wait root internal # . . # 100234/1 tli rpc/ticotsord wait root /usr/lib/gss/gssd gssd #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd #100068/2-5 dgram rpc/udp wait root /usr/dt/bin/rpc.cmsd rpc.cmsd 100134/1 tli rpc/ticotsord wait root /usr/lib/ktkt_warnd kwarnd krb5_prop stream tcp nowait root /usr/lib/krb5/kpropd kpropd

   変更が完了したら、KDCをリブートします。

2. KDC をサポートするハードウェアに対するアクセスを制限します。

   物理的なアクセスを制限するために、KDC とそのモニターは安全な場所に設置します。このサーバーへのアクセスを完全に制限することが目的です。

3. KDC データベースのバックアップを、ローカルディスクまたはスレーブ KDC に格納します。

   KDC のバックアップをテープに作成する場合、そのテープのセキュリティを十分に確保してください。キータブファイルのコピーも、同様に作成します。これらのファイルをローカルファイルシステムに格納する場合は、できるだけほかのシステムと共有しないでください。格納先のファイルシステムは、マスター KDC または任意のスレーブ KDC から選択できます。