Re: Debian Serveur / Solaris Client

To: Ronan KERYELL <Ronan.Keryell@enst-bretagne.fr>
Cc: Debian User French <debian-user-french@lists.debian.org>
Subject: Re: Debian Serveur / Solaris Client
From: Raphaël SurcouF <surcouf@nocternity.net>
Date: 19 Aug 2002 20:07:00 +0200
Message-id: <[🔎] 1029780421.9597.5.camel@arioch>
In-reply-to: <xo5elcuiztx.fsf@gavotte.enst-bretagne.fr>
References: <[🔎] H07O4L$D165829DE1A596A7A4CF3B7473CF3085@tiscali.fr> <[🔎] 87ofcl1gk0.fsf@pcgilles.internal.glmultimedia.com> <[🔎] 1028299401.4380.24.camel@arioch> <[🔎] xo5it2dmp50.fsf@gavotte.enst-bretagne.fr> <[🔎] 1029343643.23535.3.camel@arioch> <xo5elcuiztx.fsf@gavotte.enst-bretagne.fr>

Le lun 19/08/2002 à 18:21, Ronan KERYELL a écrit :
> >>>>> On 14 Aug 2002 18:47:22 +0200, Raphaël SurcouF <surcouf@nocternity.net> said:
> 
>     Raphaël> Le mer 14/08/2002 à 17:33, Ronan KERYELL a écrit :
>     >>  Comme tout le monde : en exportant à qui veut bien les lire les
>     >> mots de passe chiffrés... :-(
>     >> 
>     >> Du coup c'est sûr que les shadows password perdent de leur
>     >> sécurité.
> 
>     Raphaël> La seule faille de sécurité est la même que pour NFS.  On
>     Raphaël> exportes de telles informations en se basant uniquement sur
>     Raphaël> des FQDN.  Autrement, le seul utilisateur capable d'accéder
>     Raphaël> aux shadows ainsi exportés est le super-utilisateur de la
>     Raphaël> machine cliente.  NIS ne remets pas tellement en compte la
>     Raphaël> sécurité apportée par shadow.  Comme tout élément d'un
>     Raphaël> réseau, shadow seul ne suffit pas à apporter de la sécurité,
>     Raphaël> encore faut-il configurer le reste convenablement pour y
>     Raphaël> remédier.
> 
> Je n'ai pas été clair.
> 
> Ce que je veux dire est que comme NIS exporte en clair ses tables il
> suffit de regarder ce qui passe sur le réseau par n'importe quel moyen
> pour voir leur contenu. Le plus simple sur une machine cliente étant de
> faire un ypcat passwd pour avoir l'information à mettre dans John The
> Ripper par exemple.

Jsutement non. Je ne suis pas d'accord. Si tu n'utilises pas shadow, 
effectivement, n'importe qui a accés aux mots de passe cryptés.
Mais, dans le cas contraire, puisque que l'implémentation de NIS,
je le répète, sous GNU/Linux supporte le système shadow,
seul le root de la machine cliente a accés à cette ressource (dans le
cadre d'un usage du client ypcat ou autre).
Il est toujours vrai par contre, qu'un éventuel pirate peut écouter le
réseau et saisir ces mots de passe en les interceptant. Maintenant,
la manoeuvre est à portée de beaucoup moins de monde.

> Un TP que je fais faire à mes élèves pour leur montrer les faiblesses
> d'une techno des années 80 quand on l'utilise encore en 2002...
> 
> Évidemment avec d'autres approches style NIS+ ou n'importe quelle copie
> avec chiffrement (fort) c'est plus sécurisé...

En dehors de NIS+, qu'apparement je vais être amené à employer dans le
cadre du travail (à moins qu'OpenLDAP ne fasse mon affaire), il existe
d'autres méthodes pour sécuriser son réseau local.
Ces technologies, NIS ou même NFS, se base sur le fait que ce réseau,
est un réseau de confiance, de même que IP le fait...

Tout est un problème du niveau de confiance que tu accordes ou non à tes
utilisateurs, ni plus ni moins.

-- 
Raphaël SurcouF
surcouf@nocternity.net

Reply to:

References:
- Re: Debian Serveur / Solaris Client
  - From: "Michel Petit" <mpefra@worldonline.fr>
- Re: Debian Serveur / Solaris Client
  - From: Julien Gilles <jigso@free.fr>
- Re: Debian Serveur / Solaris Client
  - From: Raphaël SurcouF <surcouf@nocternity.net>
- Re: Debian Serveur / Solaris Client
  - From: Ronan KERYELL <Ronan.Keryell@enst-bretagne.fr>
- Re: Debian Serveur / Solaris Client
  - From: Raphaël SurcouF <surcouf@nocternity.net>

Prev by Date: Re: je sais plus rentrer en root
Next by Date: Re: je sais plus rentrer en root
Previous by thread: Re: Debian Serveur / Solaris Client
Next by thread: Re: [HS] Petite question relative à postgresql...
Index(es):
- Date
- Thread