FreeBSD handbook中文版 10 安全(12) Enter secret password: <secret password> 26: SODA RUDE LEA LIND BUDD SILT 27: JILT SPY DUTY GLOW COWL ROT 28: THEM OW COLA RUNT BONG SCOT 29: COT MASH BARR BRIM NAN FLAG 第16 页FreeBSD 使用手册 30: CAN KNEE CAST NAME FOLK BILK -n 5 按顺序请求5 个密匙,30 指定了最后的反复计算的号码是什么。注意这些将按与 实际相反的顺序打印出来。如果你是一个偏执狂,你可以手工写下这些结果;否则你可以打 印出来。注意,每一行都显示了重复计算数和一次性的密码。 10.5.5 Unix 密码的限制使用 这种限制可能是基于主机名,用户名,终端口,或登陆时的IP 地址的unix 密码的使用。 这些限制可以在配置文件/etc/skey.access 中找到。skey.access 的联机手册中,有这个文 件的完整格式和细节。 如果没有/etc/skey.access 文件(这是FreeBSD 默认的),那所有的用户将被允许使 用unix 密码。如果文件存在,那所有的用户将被要求使用s/key,除非明确地允许这样做。 在所有的案例中,unix 密码是允许用在控制台的。 这儿是一个配置文件的例子,下面举三种普通使用的配置例子: permit internet 192.168.0.0 255.255.0.0 permit user fnord permit port ttyd0 第一行允许他的Ip 源地址与指定的值和掩码相配的用户使用unix 密码。这不应当被认 为是一种安全的机制,但应当提醒那些使用不安全连接的网络的用户必须使用s/key 验证。 第二行允许指定用户名在任何时候使用unix 密码,在这个例子中是fnord。一般来讲, 这将被那些不能使用密码程序的人或不可教育的人来使用。 第三行允许所有的通过指定的终端行登陆的用户使用unix 密码;这将被用在拨号中。 10.6 Kerberos Kerberos 是一个网络附加系统/协议,可以允许用户通过一个安全服务器的服务来验证 他们自己。象远程登陆,远程拷贝,系统间的相互文件拷贝和其他高风险任务的服务将被变 得相当安全和可控制。 下面的文章将用来指导你如何为FreeBSD 设置Kerberos。你也可以参考相关的联机手册 第17 页FreeBSD 使用手册 了解更详细的说明。 在FreeBSD 中,Kerberos 不是来自最初的4.4BSD-Lite,而是eBones,来自于USA/Canada 以外的地区,那些受到美国加密代码出口限制的国家就可以使用它。 10.6.1 创建最初的数据库 这只可以由Kerberos 服务器来做。首先确定你没有旧的Kerberos 数据库。你必须改变 /etc/kerberosIV 的目录,然后只检查下面出现的文件: # cd /etc/kerberosIV # ls README krb.conf krb.realms 如果任何其他文件(如principal.* 或master_key)存在,那使用kdb_destroy 命令就
