Zum Einsatz von Kerberos benötigen Sie zuallererst eine Maschine, die als Schlüsselverteilungszentrum (Key Distribution Center = KDC) fungiert. Diese Maschine enthält die gesamte Kerberos-Benutzerdatenbank mit Passwörtern und allen Informationen.
Das KDC ist der wichtigste Teil Ihrer Sicherheitsinfrastruktur – wenn jemand einbricht, sind alle Benutzerkonten und Ihre gesamte, von Kerberos geschützte Infrastruktur beeinträchtigt. Ein Angreifer mit Zugriff auf die Kerberos-Datenbank kann die Identität jedes Prinzipals in der Datenbank übernehmen. Erhöhen Sie die Sicherheit für diese Maschine so weit wie möglich:
Stellen Sie den Server an einen sicheren Ort, beispielsweise in einen verschlossenen Serverraum, zu dem nur sehr wenige Personen Zugang haben.
Führen Sie keine Netzwerkanwendungen darauf aus, außer dem KDC. Damit sind auch Server und Clients gemeint. Das KDC sollte beispielsweise keine Dateisysteme über NFS importieren oder DHCP zum Abrufen der Netzwerkkonfiguration verwenden.
Installieren Sie zuerst ein minimales System. Wählen Sie dann die Liste der installierten Pakete aus und entfernen Sie alle unnötigen. Dazu gehören Server, wie inetd, portmap und cups sowie alle Programme auf X-Basis. Sogar die Installation eines SSH-Servers ist ein potenzielles Sicherheitsrisiko.
Auf dieser Maschine ist keine grafische Anmeldung möglich, da ein X-Server ein potenzielles Sicherheitsrisiko darstellt. Kerberos bietet seine eigene administrative Schnittstelle.
Konfigurieren Sie /etc/nsswitch.conf
zur Verwendung ausschließlich lokaler Dateien für Benutzer- und Gruppensuche. Ändern Sie die Zeilen für passwd
und group
, damit sie wie folgt aussehen:
passwd: files group: files
Bearbeiten Sie die Dateien passwd
, group
, shadow
und gshadow
unter /etc
und entfernen Sie die Zeilen, die mit einem +
-Zeichen beginnen (diese sind für NIS-Suchen).
Deaktivieren Sie alle Benutzerkonten außer das root
-Konto, indem Sie die Datei /etc/shadow
bearbeiten und die Rautezeichen für Passwörter durch *
- oder !
-Zeichen ersetzen.