Каков kerberos keytab файл, используемый для в UNIX/AD kerberos аутентификация?
можно быть похожими на это:
$mount
если вывод - что-то как/dev/md затем, это должен быть набег программного обеспечения.
для жесткого диска скорость используют hdparam.
если будет аппаратный набег, то будет более трудным видеть - выполняет dmidecode и смотрят на вывод - это скажет многим информацию об узле
Основное использование локальной keytab во время локальной аутентификации - защита от спуфинга KDC.
Аутентификация входа в систему Kerberos работает, запрашивая TGT от Kerberos KDC и затем расшифровывая его с помощью сформированного ключа от пароля, введенного локально. Если эта расшифровка работает, вход в систему считается успешным (если нет keytab). Проблема с этим подходом заключается в том, что злоумышленник может одновременно подделывать ответ KDC с помощью TGT, зашифрованного паролем, выбранным злоумышленником. Если система получит этот ответ до реального ответа, она с радостью расшифрует его с помощью пароля злоумышленника, а затем сочтет аутентификацию успешной. Это довольно легко сделать, если у вас есть система в той же локальной сети, учитывая, что Kerberos является протоколом UDP.
Если есть локальная клавиша, процесс входа в систему делает еще один шаг: он запрашивает у KDC билет службы для принципала, хранящегося в локальной keytab, а затем проверяет этот билет, расшифровывая его с помощью ключа в keytab. KDC злоумышленника не знает закрытого ключа keytab в системе и поэтому не выполнит этот шаг. (Это, конечно, означает, что системная клавиатурная вкладка должна быть заблокирована, чтобы она была доступна только пользователю root, поскольку любой, кто имеет доступ к клавиатурной вкладке, может успешно атаковать систему.)
(Квалификация: я автор книги модуль Kerberos PAM, используемый в Debian и Ubuntu.)
■ KDC не знает закрытый ключ keytab в системе и поэтому не выполнит этот шаг. (Это, конечно, означает, что системная клавиатурная вкладка должна быть заблокирована, чтобы она была доступна только пользователю root, поскольку любой, кто имеет доступ к клавиатурной вкладке, может успешно атаковать систему.)(Квалификация: я автор книги модуль Kerberos PAM, используемый в Debian и Ubuntu.)
■ KDC не знает закрытый ключ keytab в системе и поэтому не выполнит этот шаг. (Это, конечно, означает, что системная клавиатурная вкладка должна быть заблокирована, чтобы она была доступна только пользователю root, поскольку любой, кто имеет доступ к клавиатурной вкладке, может успешно атаковать систему.)(Квалификация: я автор книги модуль Kerberos PAM, используемый в Debian и Ubuntu.)