IBM AIX 安全案例配置 IBM NAS version for AIX 使用非默認(rèn)加密類型 本文詳細(xì)講解如何在 Kerberos 設(shè)置(IBM? Network Authentication Service)中啟用并使用 aes128-cts 等非默認(rèn)加密類型。還解釋執(zhí)行每個步驟的原因。這些內(nèi)容有助于 Kerberos 管理員在 Kerberos 設(shè)置中使用任何非默認(rèn)加密類型。 簡介 IBM Network Authentication Service(NAS)基于 Kerberos Version 5 的標(biāo)準(zhǔn)協(xié)議 Internet Engineering Task Force(IETF)Request for Comment(RFC)1510。Kerberos 是一種網(wǎng)絡(luò)身份驗證協(xié)議。它的設(shè)計目的是，通過使用密鑰加密技術(shù)，為客戶端-服務(wù)器應(yīng)用程序提供強(qiáng)大的身份驗證和加密通信。IBM AIX 上支持 IBM NAS 服務(wù)器(KDC)。 Network File System(NFS)version 4 是 NFS 協(xié)議的最新版本，它定義新一代網(wǎng)絡(luò)文件系統(tǒng)。NFS V4 由 RFC 3530 詳細(xì)說明。NFS V4 的一個重要特性是滿足更高的安全標(biāo)準(zhǔn)。在這個協(xié)議中，使用 Kerberos、LIPKEY 和 SPKM-3 提供的 GSS-API 框架保護(hù)客戶端和服務(wù)器之間的交互。 IBM NFS V4 使用 IBM NAS 提供的 Kerberos 實現(xiàn)滿足它的安全需求。IBM NAS 用于身份驗證，也可以用于 NFS 客戶端和服務(wù)器之間的消息加密。 IBM NAS 支持不同的加密類型。不同加密類型之間的差異在于算法的強(qiáng)度和使用的密鑰長度。算法和密鑰長度的組合產(chǎn)生強(qiáng)加密、中等加密和弱加密。在 IBM NFS V4 之前，IBM AIX? V5.3L 和 6.1 能夠使用 AES 加密(128 位和 256 位密鑰長度)。 IBM NAS 和 IBM NFS V4 支持的加密類型 IBM NAS 支持 Arcfour、DES、Triple-DES 和 AES 等加密算法。通過組合使用不同的密鑰長度和散列算法，IBM NAS 提供表 1 所示的加密類型。 表 1. IBM NAS 支持的加密類型 加密類型 說明 配置文件中使用的名稱 AES-128 CTS 模式，96 位 ENCTYPE_AES128_CTS_HMAC_SHA1_96 “aes128-cts-hmac-sha1-96“ / SHA-1 HMAC “aes128-cts“ AES-256 CTS 模式，96 位 ENCTYPE_AES256_CTS_HMAC_SHA1_96 “aes256-cts-hmac-sha1-96“ / SHA-1 HMAC “aes256-cts DES cbc 模式，CRC-32 ENCTYPE_DES_CBC_CRC “des-cbc-crc“ DES cbc 模式，RSA-MD4 ENCTYPE_DES_CBC_MD4 “des-cbc-md4“ DES cbc 模式，RSA-MD5 ENCTYPE_DES_CBC_MD5 “des-cbc-md5“ Triple DES cbc 模式，ENCTYPE_DES3_CBC_SHA1 “des3-cbc-sha1“ HMAC/sha1 ArcFour，HMAC/md5 ENCTYPE_ARCFOUR_HMAC “arcfour-hmac“ Exportable ArcFour，ENCTYPE_ARCFOUR_HMAC_EXP “arcfour-hmac-exp“ HMAC/md5 IBM NFS V4 支持 表 1 中的一小部分加密類型。支持的加密算法是 DES、Triple-DES 和 AES。通過組合使用不同的密鑰長度和散列算法，IBM NFS V4 支持以下加密類型:descbccrc、descbcmd4、descbcmd5、des3cbcsha1、aes128-cts、aes256-cts。 使用哪種加密類型, 加密算法和密鑰長度的組合決定加密類型的強(qiáng)度。上面列出的加密類型的強(qiáng)度各不相同，其中 ENCTYPE_AES256_CTS_HMAC_SHA1_96 是最強(qiáng)的。相關(guān)聯(lián)的散列算法用來提供完整性服務(wù)。通常情況下，越強(qiáng)的加密類型消耗的時間越多，但是私密性也越高。在訪問與財務(wù)相關(guān)的數(shù)據(jù)或需要高特權(quán)的數(shù)據(jù)時，建議采用最強(qiáng)的加密類型;在訪問不太重要的數(shù)據(jù)和需要快速使用的數(shù)據(jù)時，建議使用強(qiáng)度比較低的加密類型。 管理員/用戶根據(jù)所需的私密性水平?jīng)Q定使用哪種加密類型，并相應(yīng)地配置 Kerberos 域。 默認(rèn)配置的加密類型 一種簡單的 Kerberos 配置是一個域定義，其中包含 KDC 服務(wù)器、kadmind 服務(wù)器(可選)和客戶端。配置信息采用配置文件的形式，即 kdc.conf 和 krb5.conf。并非所有加密類型都包含在默認(rèn)的 Kerberos 配置中。krb5.conf 文件和 kdc.conf 文件中的默認(rèn)加密類型是 des3-cbc-sha1、arcfour-hmac、aes256-cts、des-cbc-md5 和 des-cbc-crc。 回頁首 非默認(rèn)加密類型的設(shè)置 圖 1 說明非默認(rèn)加密類型的 Kerberos 域設(shè)置。這個設(shè)置涉及 Kerberos 服務(wù)器、Kerberos 客戶端、NFS 服務(wù)器和 NFS 客戶端。 這里有一些基本假設(shè): 1. 這個配置中使用的所有機(jī)器都是 IBM AIX 機(jī)器，使用 AIX 53L 或 AIX 61 或更高版本。 2. 有一臺 IBM NAS 服務(wù)器(KDC)。在同一臺機(jī)器上，將運行另一個服務(wù)器(kadmind)。為了簡明，圖中省略了它。 3. 是 NAS 服務(wù)器機(jī)器。 4. 域中的所有其他機(jī)器都是客戶端。甚至 NFS 服務(wù)器(客戶端 E)也是一個 Kerberos 客戶端。 5. 如圖所示，每個 Kerberos 客戶端被限制為只使用指定的加密類型。 6. 省略 NFSv4 需要的配置步驟。 圖 1. 使用 IBM NAS 的 Kerberos 設(shè)置 在圖 1 中，Kerberos 客戶端需要的加密類型是 aes256-cts、aes128-cts、des-cbc-crc 和 arcfour-hmac。使用 IBM NAS 提供的 config.krb5 命令配置這個設(shè)置。更多信息請查閱 AIX Version 5.3/6.1 Expansion Pack 光盤附帶的 IBM NAS Version 1.4 Administration Guide(參見 參考資料)。 下面的步驟和清單說明服務(wù)器和客戶端所用的基本配置命令及其輸出。 服務(wù)器配置 清單 1. 使用 “config.krb5” 命令配置 Kerberos 服務(wù)器 bash-2.05b# hostname bash-2.05b# config.krb5 -S -d -r MYREALM Initializing configuration. Creating /etc/krb5/krb5_cfg_type. Creating /etc/krb5/krb5.conf. Creating /var/krb5/krb5kdc/kdc.conf. Creating database files. Initializing database /var/krb5/krb5kdc/principal for realm MYREALM master key name K/MMYREALM You are prompted for the database Master Password. It is important that you DO NOT FORGET this password. Enter database Master Password: Re-enter database Master Password to verify: WARNING: no policy specified for admin/adminMYREALM; defaulting to no policy. Note that policy may be overridden by ACL restrictions. Enter password for principal “admin/adminMYREALM“: Re-enter password for principal “admin/adminMYREALM“: Principal “admin/adminMYREALM“ created. Creating keytable. Creating /var/krb5/krb5kdc/kadm5.acl. Starting krb5kdc. krb5kdc was started successfully. Starting kadmind. kadmind was started successfully. The command completed successfully. 下面是默認(rèn)的配置文件。 清單 2. Kerberos 服務(wù)器上的 kdc.conf 文件 bash-2.05b# cat /var/krb5/krb5kdc/kdc.conf kdcdefaults kdc_ports = 88 realms MYREALM = database_name = /var/krb5/krb5kdc/principal admin_keytab = /var/krb5/krb5kdc/kadm5.keytab acl_file = /var/krb5/krb5kdc/kadm5.acl dict_file = /var/krb5/krb5kdc/kadm5.dict key_stash_file = /var/krb5/krb5kdc/.k5.MYREALM kadmind_port = 749 kdc_ports = 88 max_life = 24h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-cbc-sha1 supported_enctypes = des3-cbc-sha1:normal arcfour-hmac:normal aes256-cts:normal des-cbc-md5:normal des-cbc-crc:normal 清單 3. Kerberos 服務(wù)器上的 krb5.conf 文件 bash-2.05b# cat /etc/krb5/krb5.conf libdefaults default_realm = MYREALM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc realms MYREALM = kdc = :88 admin_server = :749 default_domain = domain_realm . = MYREALM = MYREALM logging kdc = FILE:/var/krb5/log/krb5kdc.log admin_server = FILE:/var/krb5/log/kadmin.log default = FILE:/var/krb5/log/krb5lib.log 客戶端配置 清單 4. 使用 “config.krb5” 命令配置 Kerberos 客戶端 bash-2.05# config.krb5 -C -r MYREALM -d -c -s Initializing configuration. Creating /etc/krb5/krb5_cfg_type. Creating /etc/krb5/krb5.conf. The command completed successfully. 清單 5 給出 Kerberos 客戶端上的配置文件。 清單 5. Kerberos 客戶端上的 krb5.conf 文件 bash-2.05# cat /etc/krb5/krb5.conf libdefaults default_realm = MYREALM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc realms MYREALM = kdc = :88 admin_server = :749 default_domain = domain_realm . = MYREALM = MYREALM logging kdc = FILE:/var/krb5/log/krb5kdc.log admin_server = FILE:/var/krb5/log/kadmin.log default = FILE:/var/krb5/log/krb5lib.log 在所有機(jī)器(圖 1 中的 A、B、C、D 和 E)上配置 Kerberos 客戶端之后，所有機(jī)器上都有相同的 krb5.conf 文件。krb5.conf 文件中的 default_tkt_enctypes 和 default_tgs_enctypes 關(guān)系決定客戶端使用的加密類型。很明顯，所有客戶端上的配置都與設(shè)置不一樣。下一節(jié)說明所有客戶端上需要的修改。 回頁首 Kerberos 客戶端上的配置修改 一般情況下，必須修改 /etc/krb5/krb5.conf 文件來反映所需的加密類型。default_tkt_enctypes 和 default_tgs_enctypes 關(guān)系會反映出修改。這些關(guān)系分別控制獲取 TGT(Ticket Granting Ticket)和 TGS(Ticket Granting Service)所用的加密類型。在 圖 1 中，客戶端 A、B、C 和 D 使用一種加密類型，而客戶端 E 使用兩種加密類型。 現(xiàn)在，所有這些客戶端都需要修改 krb5.c