IBM AIX 安全案例

IBM AIX 安全案例配置 IBM NAS version for AIX 使用非默认加密类型 本文详细讲解如何在 Kerberos 设置(IBM? Network Authentication Service)中启用并使用 aes128-cts 等非默认加密类型。还解释执行每个步骤的原因。这些内容有助于 Kerberos 管理员在 Kerberos 设置中使用任何非默认加密类型。 简介 IBM Network Authentication Service(NAS)基于 Kerberos Version 5 的标准协议 Internet Engineering Task Force(IETF)Request for Comment(RFC)1510。Kerberos 是一种网络身份验证协议。它的设计目的是，通过使用密钥加密技术，为客户端-服务器应用程序提供强大的身份验证和加密通信。IBM AIX 上支持 IBM NAS 服务器(KDC)。 Network File System(NFS)version 4 是 NFS 协议的最新版本，它定义新一代网络文件系统。NFS V4 由 RFC 3530 详细说明。NFS V4 的一个重要特性是满足更高的安全标准。在这个协议中，使用 Kerberos、LIPKEY 和 SPKM-3 提供的 GSS-API 框架保护客户端和服务器之间的交互。 IBM NFS V4 使用 IBM NAS 提供的 Kerberos 实现满足它的安全需求。IBM NAS 用于身份验证，也可以用于 NFS 客户端和服务器之间的消息加密。 IBM NAS 支持不同的加密类型。不同加密类型之间的差异在于算法的强度和使用的密钥长度。算法和密钥长度的组合产生强加密、中等加密和弱加密。在 IBM NFS V4 之前，IBM AIX? V5.3L 和 6.1 能够使用 AES 加密(128 位和 256 位密钥长度)。 IBM NAS 和 IBM NFS V4 支持的加密类型 IBM NAS 支持 Arcfour、DES、Triple-DES 和 AES 等加密算法。通过组合使用不同的密钥长度和散列算法，IBM NAS 提供表 1 所示的加密类型。 表 1. IBM NAS 支持的加密类型 加密类型 说明 配置文件中使用的名称 AES-128 CTS 模式，96 位 ENCTYPE_AES128_CTS_HMAC_SHA1_96 “aes128-cts-hmac-sha1-96“ / SHA-1 HMAC “aes128-cts“ AES-256 CTS 模式，96 位 ENCTYPE_AES256_CTS_HMAC_SHA1_96 “aes256-cts-hmac-sha1-96“ / SHA-1 HMAC “aes256-cts DES cbc 模式，CRC-32 ENCTYPE_DES_CBC_CRC “des-cbc-crc“ DES cbc 模式，RSA-MD4 ENCTYPE_DES_CBC_MD4 “des-cbc-md4“ DES cbc 模式，RSA-MD5 ENCTYPE_DES_CBC_MD5 “des-cbc-md5“ Triple DES cbc 模式，ENCTYPE_DES3_CBC_SHA1 “des3-cbc-sha1“ HMAC/sha1 ArcFour，HMAC/md5 ENCTYPE_ARCFOUR_HMAC “arcfour-hmac“ Exportable ArcFour，ENCTYPE_ARCFOUR_HMAC_EXP “arcfour-hmac-exp“ HMAC/md5 IBM NFS V4 支持 表 1 中的一小部分加密类型。支持的加密算法是 DES、Triple-DES 和 AES。通过组合使用不同的密钥长度和散列算法，IBM NFS V4 支持以下加密类型:descbccrc、descbcmd4、descbcmd5、des3cbcsha1、aes128-cts、aes256-cts。 使用哪种加密类型, 加密算法和密钥长度的组合决定加密类型的强度。上面列出的加密类型的强度各不相同，其中 ENCTYPE_AES256_CTS_HMAC_SHA1_96 是最强的。相关联的散列算法用来提供完整性服务。通常情况下，越强的加密类型消耗的时间越多，但是私密性也越高。在访问与财务相关的数据或需要高特权的数据时，建议采用最强的加密类型;在访问不太重要的数据和需要快速使用的数据时，建议使用强度比较低的加密类型。 管理员/用户根据所需的私密性水平决定使用哪种加密类型，并相应地配置 Kerberos 域。 默认配置的加密类型 一种简单的 Kerberos 配置是一个域定义，其中包含 KDC 服务器、kadmind 服务器(可选)和客户端。配置信息采用配置文件的形式，即 kdc.conf 和 krb5.conf。并非所有加密类型都包含在默认的 Kerberos 配置中。krb5.conf 文件和 kdc.conf 文件中的默认加密类型是 des3-cbc-sha1、arcfour-hmac、aes256-cts、des-cbc-md5 和 des-cbc-crc。 回页首 非默认加密类型的设置 图 1 说明非默认加密类型的 Kerberos 域设置。这个设置涉及 Kerberos 服务器、Kerberos 客户端、NFS 服务器和 NFS 客户端。 这里有一些基本假设: 1. 这个配置中使用的所有机器都是 IBM AIX 机器，使用 AIX 53L 或 AIX 61 或更高版本。 2. 有一台 IBM NAS 服务器(KDC)。在同一台机器上，将运行另一个服务器(kadmind)。为了简明，图中省略了它。 3. 是 NAS 服务器机器。 4. 域中的所有其他机器都是客户端。甚至 NFS 服务器(客户端 E)也是一个 Kerberos 客户端。 5. 如图所示，每个 Kerberos 客户端被限制为只使用指定的加密类型。 6. 省略 NFSv4 需要的配置步骤。 图 1. 使用 IBM NAS 的 Kerberos 设置 在图 1 中，Kerberos 客户端需要的加密类型是 aes256-cts、aes128-cts、des-cbc-crc 和 arcfour-hmac。使用 IBM NAS 提供的 config.krb5 命令配置这个设置。更多信息请查阅 AIX Version 5.3/6.1 Expansion Pack 光盘附带的 IBM NAS Version 1.4 Administration Guide(参见 参考资料)。 下面的步骤和清单说明服务器和客户端所用的基本配置命令及其输出。 服务器配置 清单 1. 使用 “config.krb5” 命令配置 Kerberos 服务器 bash-2.05b# hostname bash-2.05b# config.krb5 -S -d -r MYREALM Initializing configuration. Creating /etc/krb5/krb5_cfg_type. Creating /etc/krb5/krb5.conf. Creating /var/krb5/krb5kdc/kdc.conf. Creating database files. Initializing database /var/krb5/krb5kdc/principal for realm MYREALM master key name K/MMYREALM You are prompted for the database Master Password. It is important that you DO NOT FORGET this password. Enter database Master Password: Re-enter database Master Password to verify: WARNING: no policy specified for admin/adminMYREALM; defaulting to no policy. Note that policy may be overridden by ACL restrictions. Enter password for principal “admin/adminMYREALM“: Re-enter password for principal “admin/adminMYREALM“: Principal “admin/adminMYREALM“ created. Creating keytable. Creating /var/krb5/krb5kdc/kadm5.acl. Starting krb5kdc. krb5kdc was started successfully. Starting kadmind. kadmind was started successfully. The command completed successfully. 下面是默认的配置文件。 清单 2. Kerberos 服务器上的 kdc.conf 文件 bash-2.05b# cat /var/krb5/krb5kdc/kdc.conf kdcdefaults kdc_ports = 88 realms MYREALM = database_name = /var/krb5/krb5kdc/principal admin_keytab = /var/krb5/krb5kdc/kadm5.keytab acl_file = /var/krb5/krb5kdc/kadm5.acl dict_file = /var/krb5/krb5kdc/kadm5.dict key_stash_file = /var/krb5/krb5kdc/.k5.MYREALM kadmind_port = 749 kdc_ports = 88 max_life = 24h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-cbc-sha1 supported_enctypes = des3-cbc-sha1:normal arcfour-hmac:normal aes256-cts:normal des-cbc-md5:normal des-cbc-crc:normal 清单 3. Kerberos 服务器上的 krb5.conf 文件 bash-2.05b# cat /etc/krb5/krb5.conf libdefaults default_realm = MYREALM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc realms MYREALM = kdc = :88 admin_server = :749 default_domain = domain_realm . = MYREALM = MYREALM logging kdc = FILE:/var/krb5/log/krb5kdc.log admin_server = FILE:/var/krb5/log/kadmin.log default = FILE:/var/krb5/log/krb5lib.log 客户端配置 清单 4. 使用 “config.krb5” 命令配置 Kerberos 客户端 bash-2.05# config.krb5 -C -r MYREALM -d -c -s Initializing configuration. Creating /etc/krb5/krb5_cfg_type. Creating /etc/krb5/krb5.conf. The command completed successfully. 清单 5 给出 Kerberos 客户端上的配置文件。 清单 5. Kerberos 客户端上的 krb5.conf 文件 bash-2.05# cat /etc/krb5/krb5.conf libdefaults default_realm = MYREALM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc realms MYREALM = kdc = :88 admin_server = :749 default_domain = domain_realm . = MYREALM = MYREALM logging kdc = FILE:/var/krb5/log/krb5kdc.log admin_server = FILE:/var/krb5/log/kadmin.log default = FILE:/var/krb5/log/krb5lib.log 在所有机器(图 1 中的 A、B、C、D 和 E)上配置 Kerberos 客户端之后，所有机器上都有相同的 krb5.conf 文件。krb5.conf 文件中的 default_tkt_enctypes 和 default_tgs_enctypes 关系决定客户端使用的加密类型。很明显，所有客户端上的配置都与设置不一样。下一节说明所有客户端上需要的修改。 回页首 Kerberos 客户端上的配置修改 一般情况下，必须修改 /etc/krb5/krb5.conf 文件来反映所需的加密类型。default_tkt_enctypes 和 default_tgs_enctypes 关系会反映出修改。这些关系分别控制获取 TGT(Ticket Granting Ticket)和 TGS(Ticket Granting Service)所用的加密类型。在 图 1 中，客户端 A、B、C 和 D 使用一种加密类型，而客户端 E 使用两种加密类型。 现在，所有这些客户端都需要修改 krb5.c