Re: Seguranca do NFS e NIS
Ola.
> Nao usar NIS/NFS.
>
Sim. De-me outra solucao.
Digamos que eu tenha em clientes (o que ocorre) laboratorios grandes (50
maquinas em Linux com um servidor NFS). O que ocorre eh qualquer um que tenha
a senha de root de qualquer maquina pode dar um su e depois um su -
qualquerusuario.
Entendem?
Isso eh complicado.
> Ou entao dar acesso RO para o que for montado por NFS.
>
> Porque alias, se voce usa NIS voce esta confiando sua base de usuarios para
> a outra maquina, se voce monta um diretorio via NFS nesta maquina voce esta
> assumindo que a base de usuarios eh a mesma para as duas maquinas.
>
> O root tem poder sobre todos os outros usuarios da maquina local, logo, se
> a=b e b=c, a=c entende?
>
> O Kernel linux ja implementa internamente papeis, de forma que o poder
> onipresente do root podera ser dividido entre varios usuarios, deixando de
> existir um usuario que possa tudo... isso eh um dos requisitos para o nivel
> de seguranca logo acima doque o Unix alcanca normalmente (eu nunca lembro...
> C2?)
>
> O que voce quer e que o usuario root nao possa ter acesso a troca de ID
> para outros usuarios da maquina local, com o paradigma atual nao ha como
> impedir isso.
>
> Outra solucao eh nao dar a senha de root para ninguem :D
>
> --macan
>
> On Wed, Dec 13, 2000 at 04:54:06PM -0200, Paulo Henrique Baptista de Oliveira wrote:
> > Ola,
> > estudando a seguranca do nfs e nis, veriquei que se um usuario
> > possua a conta de root de uma maquina cliente em que esta montado o
> > /home e digita su - outrousuario depois de entrar como root nessa maquina,
> > ele ganha acesso do outro usuario, mesmo que esse usuario tenha protegido
> > o seu diretorio da leitura ou escrita por outros usuarios.
> > Como evitar isso?
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> >
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: