Вопрос или проблема
Наши инструменты безопасности выявляют потенциальные уязвимости в krb5, для цели этого вопроса давайте просто предположим, что Kerberos не является для меня полезным.
Мы не используем Kerberos для аутентификации на этом сервере, все обрабатывается через Amazon System Manager (SSM), который использует SSH-ключи для аутентификации.
В результате я подумал, что простым решением будет отключить аутентификацию на основе Kerberos.
Я подумал о двух потенциальных способах сделать это, но хотел убедиться, что ничего не сломаю:
- В Ubuntu аутентификация Kerberos должна обрабатываться утилитой pam-auth-update. Поэтому удаление pam-auth-update должно удалить Kerberos. Однако это может также удалить и другие важные вещи?
- Другим вариантом, который я придумал, было бы зайти в etc/services и удалить записи krb5kdc/kpropd/etc. Однако я не уверен, оставит ли это куски Kerberos и у меня нет полного списка сервисов, которые использует Kerberos.
И наконец, стоит ли мне вообще это делать? Это плохая идея, если я знаю, что не хочу использовать аутентификацию Kerberos на этом сервере никогда?
Ответ или решение
Отключение Kerberos на Ubuntu: Полное Руководство
Ваша задача по отключению Kerberos на сервере Ubuntu важна для обеспечения безопасности и оптимизации системы. Если ваша инфраструктура не использует Kerberos для аутентификации, и ваше управление осуществляется через Amazon System Manager с использованием SSH-ключей, есть удобные способы отключить Kerberos, чтобы предотвратить возможные уязвимости.
1. Зачем отключать Kerberos?
Может показаться, что Kerberos — это дополнительный компонент, который не влияет на работу вашей системы, однако, его наличие может создавать потенциальные точки уязвимости. Если Kerberos не используется для аутентификации в процессе управления сервером, логично отключить его, чтобы минимизировать риски.
2. Подходы к отключению Kerberos
Рассмотрим ваши два предложенных варианта отключения Kerberos.
Вариант 1: Использование pam-auth-update
Удаление Kerberos через pam-auth-update — это распространенный подход для управления модулями аутентификации PAM (Pluggable Authentication Modules). Однако простое удаление может повлечь за собой удаление других необходимых компонентов. Вместо этого:
- Запустите команду:
sudo pam-auth-update - Отключите опции, связанные с Kerberos, если они доступны. Убедитесь, что вы не отключаете другие критически важные модули аутентификации.
- Сохраните изменения.
Преимущество этого подхода в том, что он не затрагивает саму библиотеку Kerberos и не вызывает конфликтов с другими модулями аутентификации.
Вариант 2: Редактирование /etc/services
Редактирование файла /etc/services для удаления записей, связанных с Kerberos (например, krb5kdc, kpropd и т.д.), не является рекомендуемым подходом. Этот файл используется для определения доступных сетевых служб и их портов, но удаление этих строк не отключает Kerberos, а лишь убирает видимость этих служб.
Этот метод может оставить "капли" Kerberos в системе и в конечном счете не решит проблему. Вместо этого, лучше будет использовать пакетный менеджер для удаления пакетов, связанных с Kerberos.
3. Удаление пакетов Kerberos
Для полного отключения Kerberos, рекомендуется удалить соответствующие пакеты:
sudo apt-get remove --purge krb5-user krb5-kdc krb5-admin-serverЭта команда удаляет ключевые пакеты Kerberos и очищает все связанные конфигурационные файлы.
4. Нужно ли отключать Kerberos?
Если вы на 100% уверены, что Kerberos не требуется вашему серверу, его отключение — разумное решение. Однако, прежде чем проводить какие-либо изменения в системе, убедитесь, что:
- Вы сделали полную резервную копию текущих конфигураций.
- Вы провели анализ зависимости, чтобы подтвердить, что удаление Kerberos не повлияет на другие приложения, которые могут использовать аутентификацию.
Заключение
Отключение Kerberos на вашем сервере Ubuntu может значительно улучшить безопасность, если этот механизм аутентификации не используется. Применяйте рекомендованные шаги по удалению пакетов, а не через изменения в файлах конфигурации, чтобы избежать оставления неиспользуемых компонентов в системе. Всегда тщательно протестируйте изменения в контролируемой среде перед их внедрением в рабочую систему, чтобы избежать неожиданного разрушения служб.