[Debian]:Re: Authentifizierung und Dateisysteme im Netzwerk

To: debian-user-de@jfl.de
Subject: [Debian]:Re: Authentifizierung und Dateisysteme im Netzwerk
From: Jens Benecke <jens@pinguin.conetix.de>
Date: Mon, 3 Jan 2000 00:24:43 +0100
Message-id: <20000103002443.U24333@pinguin.conetix.de>
Mail-followup-to: debian-user-de@jfl.de
In-reply-to: <83vgc6$k9v$1@votka.ifi.unizh.ch>; from hweidner@gmx.net on Fri, Dec 24, 1999 at 10:02:46AM +0000
References: <19991223200250.A9909@cottman.toppoint.de> <83vgc6$k9v$1@votka.ifi.unizh.ch>

On Fri, Dec 24, 1999 at 10:02:46AM +0000, Harald Weidner wrote:

> Der grosse Nachteil von NIS und NFS ist das Sicherheitsmodell. Es setzt
> voraus, dass jede Maschine im Netz, und das Netz selbst, als sicher
> angenommen werden kann. Ein Benutzer authentifiziert sich nur lokal

Nö. Nicht unbedingt. Man kann z.B., wenn man ein paar CPUs über hat, NIS
(und NFS <g>) durch ssh tunneln. Oder Kerberos benutzen.

Das zentrale Problem ist, daß IPs als Authentifikation als ausreichend
gewertet werden. IP Spoofing ist aber heute kein technisches Problem mehr.

Allerdings ist ja sowieso auf diesen Maschinen root normalerweise überall
der gleiche.

> gegenueber einer Maschine; der NFS-Server vertraut der Sicherheit dieser
> Maschine. Sobald es jemand schafft, auf irgend- einer Maschine root zu
> werden, kann er dort jede beliebige Benutzer- kennung annehmen und dann
> per NFS auf dessen Homeverzeichnis zu- greifen. Noch einfacher geht das,

Nicht, wenn (wie hier praktiziert) überall umask 066 gesetzt ist: denn den
root-account kriegt keiner übers Netz, und außer root darf mit obiger umask
keiner in fremde Verzeichnisse reingucken.

> wenn man sich unter Windows ein- fach eine neue Benutzerkennung (und ggf.

Dann braucht man für Windows einen NFS Client (und das ist selten),...

> eine andere IP-Nummer) gibt, oder direkt eine eigene Maschine an's Netz
> haengt.

... und muß eine IP "spoofen" (d.h. klauen) die ein "korrekter" Rechner
hat, und das führt bei der ersten Kollision zum Chaos (ich habe mit zwei
gleichen IPs in einem Netz bisher nicht mal eine funktionierende
Telnet-Session vom Laptop aus hinbekommen, um den "anderen" zu reparieren).

> Eine Loesung koennte NIS+ und SecureNFS sein; beides ist aber fuer Linux
> momentan nur in sehr experimenteller Form vorhanden.

NIS+ ist vor allem ein Horror auf der serverseite. Ich habe NIS und NFS in
einem Wochenende ohne Vorwissen zum Laufen bekommen, ein weiteres
Wochenende ging dann für die Sicherheitskonfiguration drauf.

z.B. sollte man niemals wildcards oder ganze Netze in /etc/exports
eintragen...

> In Deinem Fall wuerde ich die Linux- und die Windows-Maschinen in
> separate Netzsegmente haengen. NFS und NIS wird nur im Linux-Netz
> zugelassen, fuer das Windows-Netz laesst man besser nur SMB zu.

das sowieso. Und jede IP explizit in die exports eintragen. Und das Netz
physisch (mit Switch oder router) trennen, so daß keiner packet sniffer
spielen kann.

Es geht. NFS und NIS wird in großem Stil benutzt. Es geht halt nur von der
Annahme aus, daß "root" vertrauenswürdig ist - überall. 

-- 
_ciao, Jens_______________________________ http://www.pinguin.conetix.de
·
unzip ; touch ; finger ; mount ; gasp ; yes ; yes ; yes ; umount ; sleep

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     746

Reply to:

Prev by Date: [Debian]:Re: PHP und Apache
Next by Date: [Debian]:Re: [Linux: DNS-Server] Hardware Anforderungen
Previous by thread: [Debian]:Re: PHP und Apache
Next by thread: [Debian]:Re: [Linux: DNS-Server] Hardware Anforderungen
Index(es):
- Date
- Thread