Hallo, ich habe hier das NIS-System eingerichtet, das bei SuSE 7.0 dabei ist und es läuft auch alles sehr gut - von der Passwordabfrage bis zum Automounter. Nur leider läuft es so gut, daß der Befehl "ypcat passwd" von jedem User ausgeführt werden darf. Da hier auch die Shadow Passwörter mit angezeigt werden, sehe ich hier ein echtes Sicherheitsproblem. Kann mir jemand sagen, wo man das abstellen kann, so daß nur noch root das erlaubt ist ? Gruß Jan Hendrik
Jan Hendrik Ribbat schrieb am Mon, 21 Jan 2002 12:50:56 +0100:
Kann mir jemand sagen, wo man das abstellen kann, so daß nur noch root das erlaubt ist ?
Probier doch mal ein chmod go-rwx `which ypcat` Gruß, Jochen -- ---------------------------------------------------------------- *Jochen Lillich*, Dipl.-Inform. (FH) Consultant/Trainer @ /TeamLinux GbR/ Tel. +49 7254 985187-0 http://www.teamlinux.de ----------------------------------------------------------------
Hallo, Am Montag, 21. Januar 2002 14:08 schrieb Jochen Lillich:
Jan Hendrik Ribbat schrieb am Mon, 21 Jan 2002 12:50:56 +0100:
Kann mir jemand sagen, wo man das abstellen kann, so daß nur noch root das erlaubt ist ?
Probier doch mal ein
chmod go-rwx `which ypcat`
Ich bezweifle, dass das eine Lösung ist. In einer NIS Systemumgebung ersetzt der Zugriff über ypcat den Zugriff auf die lokale /etc/passwd (die ja auch für jederman lesbar sein _muss_ um Informationen wie Homedirectory oder Login-Shell zu bekommen). Früher stand in der passwd ja auch das verschlüsselte Passwort. Dann ist man irgendwann drauf gekommen, dass das nicht sicher genug ist (die Benutzer waren nicht mer per se vertrauenswürdig) und hat deshalb das passwd/shadow Konzept entwickelt. NIS ist aber vorher entstanden und spiegelt noch das alte Konzept wieder. Ich kenne NIS+ nicht, aber ich könnte mir vorstellen, dass das dort besser (sicherer) gelöst ist. Schöne Grüße aus Bremen hartmut
Hallo, Am Montag, 21. Januar 2002 19:01 schrieb Hartmut Meyer:
Hallo,
Am Montag, 21. Januar 2002 14:08 schrieb Jochen Lillich:
Jan Hendrik Ribbat schrieb am Mon, 21 Jan 2002 12:50:56 +0100:
Kann mir jemand sagen, wo man das abstellen kann, so daß nur noch root das erlaubt ist ?
Probier doch mal ein
chmod go-rwx `which ypcat`
Ich bezweifle, dass das eine Lösung ist. In einer NIS Systemumgebung ersetzt der Zugriff über ypcat den Zugriff auf die lokale /etc/passwd (die ja auch für jederman lesbar sein _muss_ um Informationen wie Homedirectory oder Login-Shell zu bekommen).
Früher stand in der passwd ja auch das verschlüsselte Passwort. Dann ist man irgendwann drauf gekommen, dass das nicht sicher genug ist (die Benutzer waren nicht mer per se vertrauenswürdig) und hat deshalb das passwd/shadow Konzept entwickelt. NIS ist aber vorher entstanden und spiegelt noch das alte Konzept wieder.
Ich kenne NIS+ nicht, aber ich könnte mir vorstellen, dass das dort besser (sicherer) gelöst ist.
es ist schon ein bis zwei Jahre her, daß ich meine letzten NIS-Server und -Clients aufgesetzt habe, aber ich kann mich erinnern, daß irgendwo in den manuals oder im Howto stand, daß es keine gute Idee ist, shadow-Paßwörter mit NIS zu verwenden, weil man eben durch Verwendung von NIS gerade die Sicherheit verliert, die einem shadow bietet. Wie Hartmut schon sagt, kommt NIS aus einer Zeit, in der es das shadow-Konzept noch nicht gab. Das NFS und NIS Konzept beruht quasi auf dem Vertrauen, daß an den Server angeschlossene Clients und deren Benutzer vertrauenswürdig sind. (Und wahrscheinlich war das vor 15-20 Jahren auch noch so.) Selbst wenn nur root den Befehl ypcat ausführen könnte, würden die Daten dann praktisch unverschlüsselt übers Netz gehen. Und jemand, der genügend kriminelle Energie hat, ein Paßwort zu knacken, kann auch vielleicht den Netztraffic mit-sniffen... Aber wie bereits angesprochen, es gibt ja mittlerweile modernere Methoden. Ich für meinen Teil benutze noch NIS, weil ich nicht davon ausgehe, daß wir in unserem Firmenintranet Paßwortknacker sitzen haben. (Im Gegensatz dazu würde es mir natürlich nicht einfallen, mich mit einem Server irgendwo im Internet über NFS/NIS zu unterhalten - selbst wenn die Möglichkeit bestünde) Mit freundlichen Grüßen Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de
participants (4)
-
Elpelt@t-online.de -
Hartmut Meyer -
Jan Hendrik Ribbat -
Jochen Lillich