跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何手动将 Kerberos 数据库传播到从 KDC 服务器
执行以下步骤可以增强 Kerberos 应用服务器和 KDC 服务器的安全性。
表 21-4 增强 Kerberos 服务器的安全性(任务列表)
|
此过程限制对运行 telnet、ftp、rcp、rsh 和 rlogin 的服务器的网络访问,以仅使用通过 Kerberos 验证的事务。
将 -a user 选项添加到 telnet 的 exec 属性,以将访问限于可以提供有效验证信息的用户。
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
将 -a 选项添加到 ftp 的 exec 属性,以仅允许通过 Kerberos 验证的连接。
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
应禁用 in.rshd 和 in.rlogind 守护进程。
# svcadm disable network/shell # svcadm disable network/login:rlogin
主 KDC 服务器和从 KDC 服务器都包含存储在本地的 KDC 数据库的副本。限制对这些服务器的访问以保证数据库安全对于 Kerberos 安装的整体安全性非常重要。
要提供安全的 KDC 服务器,应禁用所有不必要的网络服务。根据配置的不同,可能已禁用其中某些服务。使用 svcs 命令检查服务状态。大多数情况下,如果 KDC 是从服务器,仅需要运行 krb5kdc 和 krdb5_kprop 服务;如果 KDC 是主服务器,则仅需要运行 kadmin 服务。此外,使用回送 TLI(ticlts、ticotsord 和 ticots)的任何服务可以保持启用状态。
# svcadm disable network/comsat # svcadm disable network/dtspc/tcp # svcadm disable network/finger # svcadm disable network/login:rlogin # svcadm disable network/rexec # svcadm disable network/shell # svcadm disable network/talk # svcadm disable network/tname # svcadm disable network/uucp # svcadm disable network/rpc_100068_2-5/rpc_udp
要限制物理访问,请确保 KDC 服务器及其监视器位于安全场所。用户不应能够以任何方式访问此服务器。
仅在可以安全存储磁带时才应创建 KDC 的磁带备份。此做法同样适用于密钥表文件的备份。最好在不与其他系统共享的本地文件系统上存储这些文件。存储文件系统可以位于主 KDC 服务器或任何从 KDC 服务器上。
Kerberos 服务可以使用字典文件来防止在创建新凭证时将字典中的词用作口令。防止将字典术语用作口令可以让其他人更难猜到口令。缺省情况下使用 /var/krb5/kadm5.dict 文件,但它是空的。
您需要添加一个行来指示该服务使用字典文件。在此示例中,使用包括在 spell 实用程序中的字典。有关配置文件的完整说明,请参见 kdc.conf(4) 手册页。
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 dict_file = /usr/share/lib/dict/words }
kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin