KERBEROS简介 刘丹 12/20/2013 摘要 • • • • • 什么是Kerberos 如何安装Kerberos Kerberos使用注意事项 Kerberos的缺陷和安全问题 Kerberos二次开发 什么是Kerberos Kerberos 1 • 广义：认证通讯协议 2 • 狭义：MIT的软件 3 • 古希腊神话冥界守护者 安装 验证服务安装 • Yum – yum install krb5-server krb5-libs krb5-workstation • 源码方式 – 下载源码./configure; make&&make install • 参考:http://www.linuxproblems.org/wiki/Set_up_kerberos_on_Centos_6 验证服务配置 • • •• • • [logging] [logging] default==FILE:/var/log/krb5libs.log FILE:/var/log/krb5libs.log default kdc==FILE:/var/log/krb5kdc.log FILE:/var/log/krb5kdc.log kdc admin_server admin_server== FILE:/var/log/kadmind.log FILE:/var/log/kadmind.log • 日志配置 • [libdefaults] • default_realm = • [libdefaults] LINUXPROBLEMS.ORG • default_realm = LINUXPROBLEMS.ORG •• dns_lookup_realm dns_lookup_realm==false false dns_lookup_kdc==false false • dns_lookup_kdc • ticket_lifetime ticket_lifetime==24h 24h •• renew_lifetime renew_lifetime==7d 7d • forwardable = true • forwardable = true [realms] • [realms] LINUXPROBLEMS.ORG = { • LINUXPROBLEMS.ORG = { kdc = centos.linuxproblems.org • admin_server kdc = = centos.linuxproblems.org centos.linuxproblems.org •} admin_server = centos.linuxproblems.org • } [domain_realm] •.linuxproblems.org [domain_realm]= •LINUXPROBLEMS.ORG .linuxproblems.org = LINUXPROBLEMS.ORG linuxproblems.org = LINUXPROBLEMS.ORG • linuxproblems.org = LINUXPROBLEMS.ORG 如何使用 • Yum –yum install krb5-server krb5-libs krb5-workstation • 源码方式 –下载源码./configure; make&&make install • 创建数据库 – kdb5_util create -s • 添加用户 • kadmin.local -q "addprinc username/admin“管理员 • while read i;do echo $i;kadmin.local -q “addprinc +needchange -pw $i $i”;done</tmp/list.txt 批量增 加用户 • 添加主机 • kadmin.local -q "addprinc host/n001.ncf.com@ LINUXPROBLEMS.ORG " • 生成密钥 • while read i;do echo $i;kadmin.local -q "ktadd -k /tmp/krb5.keytab.$i host/$i@NCF.COM";done</tmp/list.txt • 将密钥从验证服务器拷贝到服务器 服务器配置 • Yum – yum install krb5-libs krb5-workstation • 源码方式 – 下载源码./configure; make&&make install • 复制krb5.conf 到/etc/ • 复制krb5.keytab 到 /etc/ • Vim ~/.k5login – xxx@ LINUXPROBLEMS.ORG • 参考:http://www.linuxproblems.org/wiki/Set_up_kerberos_on_Centos_6 • • • • DNS双向解析 Hostname与域名一致 系统时间 本机Hosts文件 – Hosts文件中禁止出现本机IP Kerberos客户端安装 • http://web.mit.edu/kerberos/dist/ 下载 Linux • Redhat：yum -y install krb5-pkinit-openssl krb5workstation krb5-libs • Debian：apt-get install krb5-user • 复制krb5.conf到/etc/ • 执行kinit 用户名 • 其它系统请使用源码安装 Putty Secure CRT 基础操作 • 增加权限 – Vim /root/.k5login • 修改密码 – kpasswd liudan ##用户名 • 销毁票据 – kdestroy • 查看票据 – klist Kerberos的缺陷和安全问题 • • • • • 票据窃取：只能等到票据过期 跳板问题：S1上有很多用户，身份窃取 程序劫持：虚假kinit 暴力破解： 单点问题 – 单点不可用 – 单点被攻陷 • 时间同步 攻击探究 • • • • • 渗透服务器 提权 绑定host，致使Kerberos认证失效 替换sshd 窃取root密码 攻击探究 trap 'stty echo;echo; exit' INT