FreeBSD handbook中文版 10 安全(8)

% kinit jane
MIT Project Athena (grunt.grondar.za)
Kerberos Initialization for "jane"
Password:
如果我们正的有它们，使用klist 设法列出记号：
% klist
Ticket file: /tmp/tkt245
Principal: jane@GRONDAR.ZA
Issued Expires Principal
Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.GRONDAR.ZA@GRONDAR.ZA
现在，如果kpasswd 程序可以得到数据库的验证，可以使用passwd 来检查正在修改的
密码：
% passwd
第26 页FreeBSD 使用手册
realm GRONDAR.ZA
Old password for jane:
New Password for jane:
Verifying password
New Password for jane:
Password changed.
10.6.6 添加su 特权
Kerberos 允许我们给每个需要root 权限的用户他们自己的分离supassword。我们现在
可以添加一个被用来验证su 到root 的id。使用kdb_edit，我们可以在Kerberos 数据库中
创建一个记录jane.root：
# kdb_edit
Opening database...
Enter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Previous or default values are in [brackets] ,
enter return to leave the same, or new value.
Principal name: jane
第27 页FreeBSD 使用手册
Instance: root
<Not found>, Create [y] ? y
Principal: jane, Instance: root, kdc_key_ver: 1
New Password: <---- enter a SECURE password here
Verifying password
New Password: <---- re-enter the password here
Principal's new key version = 1
Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?
Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short!
Attributes [ 0 ] ?
Edit O.K.
Principal name: <---- null entry here will cause an exit
现在设法获得一些记号来确定它在做什么：
# kinit jane.root
MIT Project Athena (grunt.grondar.za)
Kerberos Initialization for "jane.root"
Password:
第28 页FreeBSD 使用手册
现在，我们必须添加用户到root 的.klogin 文件：
# cat /root/.klogin
jane.root@GRONDAR.ZA
现在设法执行su:
% su
Password:
看看我们有些什么符号：
# klist
Ticket file: /tmp/tkt_root_245
Principal: jane.root@GRONDAR.ZA
Issued Expires Principal
May 2 20:43:12 May 3 04:43:12 krbtgt.GRONDAR.ZA@GRONDAR.ZA
10.6.7 使用其他命令
在一个早期的例子中，我们创建了一个叫做jane 的用户作为一个root。这里就以这个
用户为例，这是Kerberos 默认的；如果必须的记录在.klogin 文件中，那形式
<username>.root 的<principal>.<instance>将允许<username> su 到root：
# cat /root/.klogin
jane.root@GRONDAR.ZA
同样的，如果一个用户已在它们自己的home 目录行中：
% cat ~/.klogin
jane@GRONDAR.ZA
第29 页FreeBSD 使用手册
jack@GRONDAR.ZA
这允许在GRONDAR.ZA 中的已通过jane 或jack 验证的任何人通过rlogin, rsh 或rcp
访问并登陆到jane 的在这个系统上的帐户或文件。
例如，jane 现在登陆进另一个系统，使用Kerberos：
% kinit
MIT Project Athena (grunt.grondar.za)
Password:
% rlogin grunt
Last login: Mon May 1 21:14:47 from grumble
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
或者jack 登陆进在同一机器上的jane 的帐户。
% kinit
% rlogin grunt -l jane
MIT Project Athena (grunt.grondar.za)
Password:
Last login: Mon May 1 21:16:55 from grumble
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
第30 页FreeBSD 使用手册
10.7 防火墙
防火墙是提高人们访问互联网的兴趣的一个工具，它能够提高私有网络的安全性。这节
将介绍防火墙是什么，如何使用它们，和如何使用内核中提供的工具来实现它们。
注意：人们经常认为在你的内部网络与外部网络之间建立一个防火墙能够解决所有的安
全问题。但是一个糟糕的防火墙设置要比没有防火墙可能更加危险。一个防火墙可以为你的
系统增加另一个安全层，但它不可能完全阻止一些黑客高手侵入你的系统。如果你觉得你的
防火墙能够完全阻止黑客入侵而放松了安全设置，那你可能会让黑客侵入你的系统变得更加
容易。
10.7.1 什么是防火墙？
今天，经常使用的防火墙主要有两种类型。第一种类型是叫做packet filtering
router，它主要是通过设置一定的规则来转发或阻止数据包的传输。第二种是proxy server，
依靠守护程序来提供验证，然后转发数据包。
有时，有些站点同时使用两种类型的防火墙，以至只有某台机器(主要是bastion host)
才能被允许发送数据包到内部网络。代理服务运行在bastion host上，通常它要比普通的
验证机制安全。
FreeBSD 有一个内核数据包过滤程序(IPFW)，在这节的余下部分将详细讲到，但由于有
很多的代理服务器可以使用，所以在这篇文档中无法一一讲到。
10.7.1.1 数据包过滤路由
路由器是负责在网络之间转发数据的机器。一个数据包过滤路由器在它的内核中有额外
一部分代码，它们在决定数据包是被转发还是被阻止之前，会根据给出的规则比较每个数据
包。绝大多数现代的IP 路由软件都有数据包过滤代码。要启用这些过滤器，你必须定义一
些过滤代码的规则，以便它能决定数据包是否被允许转发或阻止。
过滤代码会检查所设定的匹配一个数据包头部内容的规则来决定这个数据包是否被通

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有