Re: Solução do problema do NFS /Injustiça com o NFS / Re: Seguranca do NFS e NIS

To: debian-user-portuguese@lists.debian.org
Subject: Re: Solução do problema do NFS /Injustiça com o NFS / Re: Seguranca do NFS e NIS
From: Eduardo Marcel Macan <macan@colband.com.br>
Date: Thu, 14 Dec 2000 08:22:43 -0200
Message-id: <[🔎] 20001214082243.E11216@colband.com.br>
In-reply-to: <[🔎] 00121407381500.00388@sylvia>; from fraga.silva@ig.com.br on Thu, Dec 14, 2000 at 07:38:15AM -0200
References: <[🔎] 20001213165406.B2319@python.linuxsolutions.com.br> <[🔎] 20001213172639.57f78b15.ciccio@prestonet.com.br> <[🔎] 00121321055302.00816@sylvia> <[🔎] 00121407381500.00388@sylvia>

A opção root squash é default, o que ela faz é que o root
da máquina cliente não tenha acesso a arquivos como root no servidor,
assim ele não poderia criar arquivos como root no servidor, nem criar
arquivos setuid root no servidor por exemplo.

Mas isso não se estende a outros usuários comuns, o root da máquina
cliente pode tornar-se um outro usuário e acessar/criar/modificar arquivos
deste usuário no servidor facilmente. Isto é uma consequência do
root  ter superpoderes perante seus usuários e o sistema, e foi o que
o PH levantou. Mas quando você mapeia um conjunto de usuários e monta
seus homes em uma outra máquina aqueles usuários serão também 
usuários daquela máquina, e consequentemente, estarão sob a 
administração do root local na mesma (que espera-se seja você
mesmo ou alguém de sua confiança), isso é assim por design.

Se você precisar dar acesso de root a tarefas que necessitem ser
desempenhadas por pessoas não qualificadas para serem administradores
de rede, você tem que usar o sudo.

--macan

On Thu, Dec 14, 2000 at 07:38:15AM -0200, Fernando Fraga e Silva wrote:
> On Qua 13 Dez 2000 21:05, Fernando Fraga e Silva wrote:
> > On Qua 13 Dez 2000 17:26, Christoph Simon wrote:
> > > Este comportamente é correto. No momento a que máquina A exporta um
> > > diretório para máquina B, cede o controle de accesso no nível de
> > > usuário para a máquina B. O súperusuário da máquina B deve ter accesso
> > > a todos os arquivos, incluindo aqueles importados via NFS. Por outra
> > > parte, mesmo o superusuário da máquina B não tem acesso aos arquivos
> > > da máquina A que não foram exportados. Ergo, o único jeito de evitar é
> > > não exportar.
> >
> > Tem uma outra forma, pena que eu não tenho muito tempo para pesquisar, uma
> > vez eu fiz isto exportando um volume NFS com a opção "rootnosquash" , acho
> > que é isto , procure no "man exports" que é possível evitar que o root
> > remoto possa ganhar acesso ao filesystem com privilégios de admin.
> 
> Eu implementei isto em minha residência em SJC para montar volumes NFS do 
> servidor NFS das máquinas sem disco .
> 
> -- 
> Fernando Fraga e Silva - beakman@iname.com
> Undergraduated Mechanical Engineering Student from University of São Paulo
> 
> 
> --  
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

Reply to:

Follow-Ups:
- NFS
  - From: Carlos Laviola <claviola@brfree.com.br>

References:
- Seguranca do NFS e NIS
  - From: Paulo Henrique Baptista de Oliveira <baptista@linuxsolutions.com.br>
- Re: Seguranca do NFS e NIS
  - From: Christoph Simon <ciccio@prestonet.com.br>
- Re: Seguranca do NFS e NIS
  - From: Fernando Fraga e Silva <fraga.silva@ig.com.br>
- Solução do problema do NFS /Injustiça com o NFS / Re: Seguranca do NFS e NIS
  - From: Fernando Fraga e Silva <fraga.silva@ig.com.br>

Prev by Date: Solução do problema do NFS /Injustiça com o NFS / Re: Seguranca do NFS e NIS
Next by Date: Re: Encontro SP
Previous by thread: Solução do problema do NFS /Injustiça com o NFS / Re: Seguranca do NFS e NIS
Next by thread: NFS
Index(es):
- Date
- Thread