29.3. 保护 keytabs
要防止 Kerberos keytab 被具有服务器访问权限的其他用户影响,请将对 keytab 的访问权限限制为 keytab 所有者。建议在检索后立即对 keytab 进行保护。
例如,要保护位于
/etc/httpd/conf/ipa.keytab
的 Apache keytab:
- 将文件的所有者设置为
apache
。# chown apache /etc/httpd/conf/ipa.keytab
- 将文件的权限设置为
0600
。这会将读取、写入和执行权限授予给所有者。# chmod 0600 /etc/httpd/conf/ipa.keytab