Aumento de la seguridad en servidores Kerberos

Siga estos pasos para aumentar la seguridad en servidores de aplicaciones Kerberos y en servidores KDC.

Tabla 23-4 Aumento de la seguridad en servidores Kerberos (mapa de tareas)

Tarea	Descripción	Para obtener instrucciones
Habilitar el acceso mediante la autenticación Kerberos	Restringe el acceso a la red a un servidor para permitir sólo la autenticación Kerberos.	Cómo habilitar sólo aplicaciones Kerberizadas
Restringir el acceso a los servidores KDC	Aumenta la seguridad de los servidores KDC y sus datos.	Cómo restringir el acceso a servidores KDC
Aumentar la seguridad de contraseñas utilizando un archivo de diccionario	Aumenta la seguridad de cualquier contraseña nueva comprobando la nueva contraseña con un diccionario.	Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas

Cómo habilitar sólo aplicaciones Kerberizadas

Este procedimiento restringe el acceso a la red al servidor que está ejecutando telnet, ftp, rcp, rsh y rlogin para usar sólo las transacciones autenticadas de Kerberos.

Cambie la propiedad exec para el servicio telnet.
Agregue la opción -a user a la propiedad exec para telnet a fin de restringir el acceso a aquellos usuarios que pueden proporcionar información de autenticación válida.
```
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
```
(Opcional) Si aún no está configurada, cambie la propiedad exec para el servicio telnet.
Agregue la opción -a a la propiedad exec para ftp a fin de permitir sólo conexiones autenticadas de Kerberos.
```
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
```
Deshabilite otros servicios.
El daemon in.rshd y el daemon in.rlogind deben estar deshabilitados.
```
# svcadm disable network/shell
# svcadm disable network/login:rlogin
```

Cómo restringir el acceso a servidores KDC

Tanto los servidores KDC maestros como los servidores KDC esclavos tienen copias de la base de datos del KDC almacenadas localmente. La restricción del acceso a estos servidores para que las bases de datos sean seguras es importante para la seguridad general de la instalación de Kerberos.

Deshabilite servicios remotos, según sea necesario.
Para proporcionar un servidor KDC seguro, todos los servicios de red que no son esenciales se deben deshabilitar. En función de la configuración, es posible que algunos de estos servicios ya estén deshabilitados. Compruebe el estado del servicio con el comando svcs. En la mayoría de los casos, los únicos servicios que se deberían ejecutar son krb5kdc y kadmin si el KDC es un maestro. Además, los servicios que utilizan el bucle de retorno tli (ticlts, ticotsord y ticots) pueden dejarse habilitados.
```
# svcadm disable network/comsat
# svcadm disable network/dtspc/tcp
# svcadm disable network/finger
# svcadm disable network/login:rlogin
# svcadm disable network/rexec
# svcadm disable network/shell
# svcadm disable network/talk
# svcadm disable network/tname
# svcadm disable network/uucp
# svcadm disable network/rpc_100068_2-5/rpc_udp
```
Restrinja el acceso al hardware que admite el KDC.
Para restringir el acceso físico, asegúrese de que el servidor KDC y su monitor se encuentren en una instalación segura. Los usuarios no deben poder acceder a este servidor de ninguna forma.
Almacene las copias de seguridad de la base de datos del KDC en discos locales o en los KDC esclavos.
Realice copias de seguridad en cinta del KDC sólo si las cintas están almacenadas de manera segura. Siga la misma práctica para las copias de los archivos keytab. Sería mejor almacenar estos archivos en un sistema de archivos local que no esté compartido con otros sistemas. El sistema de archivos de almacenamiento puede estar en el servidor KDC maestro o en cualquier KDC esclavo.

Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas

Un archivo de diccionario puede ser utilizado por el servicio Kerberos para evitar que las palabras del diccionario se usen como contraseñas al crear nuevas credenciales. Impedir el uso de términos del diccionario como contraseñas hace que sea más difícil adivinar las contraseñas. De manera predeterminada, se utiliza el archivo /var/krb5/kadm5.dict, pero está vacío.

Conviértase en superusuario en el KDC maestro.

Edite el archivo de configuración del KDC (kdc.conf).

Necesita agregar una línea para indicar al servicio que utilice un archivo de diccionario. En este ejemplo, se utiliza el diccionario que se incluye con la utilidad spell. Consulte la página del comando man kdc.conf(4) para obtener una descripción completa del archivo de configuración.

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM = {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
                sunw_dbprop_master_ulogsize = 1000
                dict_file = /usr/share/lib/dict/words
                }

Reinicie los daemons Kerberos.

kdc1 # svcadm restart -r network/security/krb5kdc
kdc1 # svcadm restart -r network/security/kadmin

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad