Hallo, ich habe einen Server auf dem ein NFS- und ein NIS-Server laufen. Alle clients bekommen ihr home per nfs und authentifizieren sich gegenüber dem NIS. Der NFS-share ist für das ganze Subnetz freigegeben. Und jetzt kommt das Problem. Wenn sich jemand mit einem Notebook (nur lokale Benutzer) im Netz den NFS-share mountet und zufällig eine gleiche id wie auf dem NFS-Server hat kann sich derjenige das home von diesem bearbeiten. Gibt es eine Möglichkeit dem NFS-Server mitzutzeilen das nur diejenigen die sich gegenüber dem NIs authentifiziert haben den share mounten dürfen? Oder gibt es da eine andere/bessere Lösung? Danke Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 9. Dezember 2010, 12:11:10 schrieb christian schmitt:
Und jetzt kommt das Problem. Wenn sich jemand mit einem Notebook (nur lokale Benutzer) im Netz den NFS-share mountet und zufällig eine gleiche id wie auf dem NFS-Server hat kann sich derjenige das home von diesem bearbeiten. Gibt es eine Möglichkeit dem NFS-Server mitzutzeilen das nur diejenigen die sich gegenüber dem NIs authentifiziert haben den share mounten dürfen? Oder gibt es da eine andere/bessere Lösung?
Soweit ich informiert bin ich genau das die Schwachstelle von NFSv3, eine vorherige Authentifizierung ist nicht möglich mit Hausmitteln. Du solltest evtl. überlegen auf NFSv4 umzusteigen. Das kann user mit Hilfe von Kerberos authentifizieren. Allerdings habe ich selbst noch nie NFSv4 ausprobiert. In dem neuen ct-Linux Special wird das Thema aber recht gut behandelt und kann als Startpunkt dienen. Ansonsten würde mit für Dein Fall nur samba einfallen, was aber eben auch kein NFS ist. Besser wäre es wahrscheinlich wenn alle NIS/NFS Rechner in einem gemeinsamen Subnetz hängen und Gäste in ein anderes Subnetz gesteckt werden und dann nur per sftp oder ähnliches auf die Rechner im anderen Netz zugreifen können. Alles in allem leider keine schnelle Lösung für Dein Problem. :-( MfG Marco -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 12/09/2010 02:20 PM, Marco Roeben wrote:
Am Donnerstag, 9. Dezember 2010, 12:11:10 schrieb christian schmitt:
Und jetzt kommt das Problem. Wenn sich jemand mit einem Notebook (nur lokale Benutzer) im Netz den NFS-share mountet und zufällig eine gleiche id wie auf dem NFS-Server hat kann sich derjenige das home von diesem bearbeiten. Gibt es eine Möglichkeit dem NFS-Server mitzutzeilen das nur diejenigen die sich gegenüber dem NIs authentifiziert haben den share mounten dürfen? Oder gibt es da eine andere/bessere Lösung?
Soweit ich informiert bin ich genau das die Schwachstelle von NFSv3, eine vorherige Authentifizierung ist nicht möglich mit Hausmitteln. Du solltest evtl. überlegen auf NFSv4 umzusteigen. Das kann user mit Hilfe von Kerberos authentifizieren. Allerdings habe ich selbst noch nie NFSv4 ausprobiert. In dem neuen ct-Linux Special wird das Thema aber recht gut behandelt und kann als Startpunkt dienen.
Ansonsten würde mit für Dein Fall nur samba einfallen, was aber eben auch kein NFS ist.
Besser wäre es wahrscheinlich wenn alle NIS/NFS Rechner in einem gemeinsamen Subnetz hängen und Gäste in ein anderes Subnetz gesteckt werden und dann nur per sftp oder ähnliches auf die Rechner im anderen Netz zugreifen können.
Alles in allem leider keine schnelle Lösung für Dein Problem. :-(
MfG Marco
Hallo, ich habe mich noch ein wenig erkundigt und habe mich entschlossen den Zugriff über netgroups zu regeln. Somit kann ich momentan wenigstens die Rechner bestimmen welche den share mounten können. Ist wohl eine nicht so schöne Lösung wie ich finde, aber besser als nichts. NFSv4 werde ich mir aber trotzdem in nächster Zeit mal näher betrachten. Danke Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 09.12.2010 12:11, christian schmitt wrote:
Hallo,
ich habe einen Server auf dem ein NFS- und ein NIS-Server laufen. Alle clients bekommen ihr home per nfs und authentifizieren sich gegenüber dem NIS. Der NFS-share ist für das ganze Subnetz freigegeben. Und jetzt kommt das Problem. Wenn sich jemand mit einem Notebook (nur lokale Benutzer) im Netz den NFS-share mountet und zufällig eine gleiche id wie auf dem NFS-Server hat kann sich derjenige das home von diesem bearbeiten. Gibt es eine Möglichkeit dem NFS-Server mitzutzeilen das nur diejenigen die sich gegenüber dem NIs authentifiziert haben den share mounten dürfen? Oder gibt es da eine andere/bessere Lösung?
Danke
Christian Hallo,
wie waehre es wenn du den nfs-share ueber einen ssh-tunnel mountest. mfg andre -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 09.12.2010 12:11, schrieb christian schmitt:
Hallo,
ich habe einen Server auf dem ein NFS- und ein NIS-Server laufen. Alle clients bekommen ihr home per nfs und authentifizieren sich gegenüber dem NIS. Der NFS-share ist für das ganze Subnetz freigegeben. Und jetzt kommt das Problem. Wenn sich jemand mit einem Notebook (nur lokale Benutzer) im Netz den NFS-share mountet und zufällig eine gleiche id wie auf dem NFS-Server hat kann sich derjenige das home von diesem bearbeiten. Gibt es eine Möglichkeit dem NFS-Server mitzutzeilen das nur diejenigen die sich gegenüber dem NIs authentifiziert haben den share mounten dürfen? Oder gibt es da eine andere/bessere Lösung?
Danke
Christian Ich nutze in einer Umgebung einen zentralen Ldap-Server sowie pam_mount. Nach dem erfolgreichen Login werden per pam_mount alle vorgesehenen Verzeichnisse per nfs gemounted. Der Zugriffschutz läuft darüber das die Verzeichnisse auf dem zentralen nfs-Server nur für die jeweiligen User/ Gruppen freigegeben sind.
Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 12/09/2010 02:43 PM, Ralf Prengel wrote:
Am 09.12.2010 12:11, schrieb christian schmitt:
Hallo,
ich habe einen Server auf dem ein NFS- und ein NIS-Server laufen. Alle clients bekommen ihr home per nfs und authentifizieren sich gegenüber dem NIS. Der NFS-share ist für das ganze Subnetz freigegeben. Und jetzt kommt das Problem. Wenn sich jemand mit einem Notebook (nur lokale Benutzer) im Netz den NFS-share mountet und zufällig eine gleiche id wie auf dem NFS-Server hat kann sich derjenige das home von diesem bearbeiten. Gibt es eine Möglichkeit dem NFS-Server mitzutzeilen das nur diejenigen die sich gegenüber dem NIs authentifiziert haben den share mounten dürfen? Oder gibt es da eine andere/bessere Lösung?
Danke
Christian Ich nutze in einer Umgebung einen zentralen Ldap-Server sowie pam_mount. Nach dem erfolgreichen Login werden per pam_mount alle vorgesehenen Verzeichnisse per nfs gemounted. Der Zugriffschutz läuft darüber das die Verzeichnisse auf dem zentralen nfs-Server nur für die jeweiligen User/ Gruppen freigegeben sind.
Gruß Wie sieht denn bei dir dann die /etc/exports aus? bei mir sieht sie jetzt so aus:
/amd/home @nfsuser(rw,sync,root_squash) In der /etc/netgroups steht dann: nfsuser (RECHNER1,,) (RECHNER2,,) ... Somit kann ich wenigstens bestimmen von welchen Rechnern das share gemountet werden kann. Gruß Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Andre Lorenz
-
christian schmitt
-
Marco Roeben
-
Ralf Prengel