使用 Kerberos 需要的第一件事是可做為金鑰配送中心 (簡稱 KDC) 的機器。此機器包含整個 Kerberos 使用者資料庫,以及密碼與所有資訊。
KDC 是安全性基礎結構中最重要的部分 — 如果有人突破 KDE 的防線,所有使用者帳戶和您所有受到 Kerberos 保護的基礎結構都會遭到危害。具有 Kerberos 資料庫存取權的攻擊者可模擬資料庫中的任何主體。請儘可能加強使此機器的安全性:
將伺服器機器放在實體安全的位置,例如只有少數人可進入的上鎖伺服器機房。
請勿在其上執行 KDC 以外的任何網路應用程式。此原則適用於伺服器和用戶端 — 例如,KDC 不應透過 NFS 輸入任何檔案系統,或使用 DHCP 來擷取其網路組態。
請先安裝最小系統,然後檢查安裝套件的清單,再移除不需要的套件。此原則適用於伺服器 (如 inetd、portmap 和 cups) 以及任何以 X 為基礎的套件。即使是安裝 SSH 伺服器也必須考量潛在的安全性風險。
此機器不提供圖形登入,因為 X 伺服器具有潛在的安全性風險。Kerberos 提供自己的管理介面。
設定 /etc/nsswitch.conf
僅使用本地檔案進行使用者和群組查詢。將 passwd
和 group
這一行變更成像這樣:
passwd: files group: files
編輯 /etc
中的 passwd
、group
、shadow
和 gshadow
檔案,並移除以 +
字元開頭的幾行(這些是用於 NIS 查詢)。
編輯 /etc/shadow
並以 *
或 !
字元取代雜湊密碼。