Re: Groupes NIS vs groupes locaux et sécurité

To: Debian User French <debian-user-french@lists.debian.org>
Subject: Re: Groupes NIS vs groupes locaux et sécurité
From: Laurent Oliva <laurent.oliva@dsi.cnrs.fr>
Date: Tue, 01 Mar 2005 15:19:48 +0100
Message-id: <[🔎] 1109686789.7686.13.camel@pc-8748.dsi.cnrs.fr>
In-reply-to: <[🔎] 20050301133743.GQ21741@ay.vinc17.org>
References: <[🔎] 20050301121407.GC2300@dixsept.loria.fr> <[🔎] 1109680510.27374.42.camel@pc-8748.dsi.cnrs.fr> <[🔎] 20050301133743.GQ21741@ay.vinc17.org>

Le mardi 01 mars 2005 à 14:37 +0100, Vincent Lefevre a écrit :
> On 2005-03-01 13:35:10 +0100, Laurent Oliva wrote:
> > En effet, ceci peut poser des problèmes de sécurité assez graves...
> > 
> > Pourquoi ne mets tu pas "compat" à la place de "files" ?
> 
> J'avais copié ce qui avait été fait sur les machines gérés par
> les administrateurs système, mais ça date...
> 
> Quelle est la différence entre "compat" et "files"?

D'après le man de nsswitch.conf:

Pour  la  bibliothèque  libc5 avec NYS, les spécifications possibles
pour le service sont `files', `nis' et `nisplus'.  Pour les
       noms d'hôtes, vous pouvez ajouter un service supplémentaire
`dns', et pour les mots de passe et les groupes (mais  pas  pour  la
       base de données shadow) vous pouvez employer le service `compat'.

       La  bibliothèque  C GNU nécessite un fichier
appelé /lib/libnss_SERVICE.so.X pour chaque SERVICE utilisé.  Avec une
installation
       standard, vous pouvez utiliser `files', `db', `nis' et `nisplus'.
Pour les noms d'hôtes, vous pouvez indiquer `dns' comme  ser-
       vice supplémentaire. Les mots de passe, les groupes et la base de
données shadow acceptent le service `compat'.  Ces services ne
       sont pas utilisés par la libC5 avec NYS. Le numéro de version X
est 1 pour la GlibC 2.0 et 2 pour la GlibC 2.1.

> 
> > Est-ce que le comportement est le même ?
> 
> J'ai essayé compat à la place de files, puis /etc/init.d/nis restart,
> puis je me suis reloggé. Aucun changement dans le comportement: id
> renvoie la même chose, et idem pour mon test du chown dans le rapport
> de bug.

Alors dans ce cas, je vois pas beaucoup de solution, je n'en vois
qu'une :-d

-- Tu ajoutes ce groupe local dans ton nis en prennant soin de ne pas
mettre le même GID q'un autre groupe faisant partie de NIS.

-- Tu retires ce groupes local de ta machine.

Mais le problème risque de revenir, donc dans ce cas, il te reste comme
solution de centraliser tous les groupes sur le NIS, et ensuite tu
spécifie uniquement le NIS dans le nsswitch.conf, comme ça plus de
problèmes ;-)



-- 
--

Laurent Oliva

CNRS BEST - DSI Meudon 

01-45-07-52-90

Reply to:

Follow-Ups:
- Re: Groupes NIS vs groupes locaux et sécurité
  - From: Vincent Lefevre <vincent@vinc17.org>

References:
- Groupes NIS vs groupes locaux et sécurité
  - From: Vincent Lefevre <vincent@vinc17.org>
- Re: Groupes NIS vs groupes locaux et sécurité
  - From: Laurent Oliva <laurent.oliva@dsi.cnrs.fr>
- Re: Groupes NIS vs groupes locaux et sécurité
  - From: Vincent Lefevre <vincent@vinc17.org>

Prev by Date: Re: Connexion internet
Next by Date: Re: Connexion internet
Previous by thread: Re: Groupes NIS vs groupes locaux et sécurité
Next by thread: Re: Groupes NIS vs groupes locaux et sécurité
Index(es):
- Date
- Thread