NFS
Não haveria algum modo de os sistemas que usam NFS usarem a mesma
database de usuários pra evitar isso? Acho que, com essa opção, o
único problema restante ainda seria o do root da outra máquina, mas, se
alguém não pode confiar nem nas pessoas pra quem abre exports,
então já se tornou bem paranóico, :P
On Thu, Dec 14, 2000 at 08:22:43AM -0200, Eduardo Marcel Macan wrote:
>
> A opção root squash é default, o que ela faz é que o root
> da máquina cliente não tenha acesso a arquivos como root no servidor,
> assim ele não poderia criar arquivos como root no servidor, nem criar
> arquivos setuid root no servidor por exemplo.
>
> Mas isso não se estende a outros usuários comuns, o root da máquina
> cliente pode tornar-se um outro usuário e acessar/criar/modificar arquivos
> deste usuário no servidor facilmente. Isto é uma consequência do
> root ter superpoderes perante seus usuários e o sistema, e foi o que
> o PH levantou. Mas quando você mapeia um conjunto de usuários e monta
> seus homes em uma outra máquina aqueles usuários serão também
> usuários daquela máquina, e consequentemente, estarão sob a
> administração do root local na mesma (que espera-se seja você
> mesmo ou alguém de sua confiança), isso é assim por design.
>
> Se você precisar dar acesso de root a tarefas que necessitem ser
> desempenhadas por pessoas não qualificadas para serem administradores
> de rede, você tem que usar o sudo.
>
> --macan
>
> On Thu, Dec 14, 2000 at 07:38:15AM -0200, Fernando Fraga e Silva wrote:
> > On Qua 13 Dez 2000 21:05, Fernando Fraga e Silva wrote:
> > > On Qua 13 Dez 2000 17:26, Christoph Simon wrote:
> > > > Este comportamente é correto. No momento a que máquina A exporta um
> > > > diretório para máquina B, cede o controle de accesso no nível de
> > > > usuário para a máquina B. O súperusuário da máquina B deve ter accesso
> > > > a todos os arquivos, incluindo aqueles importados via NFS. Por outra
> > > > parte, mesmo o superusuário da máquina B não tem acesso aos arquivos
> > > > da máquina A que não foram exportados. Ergo, o único jeito de evitar é
> > > > não exportar.
> > >
> > > Tem uma outra forma, pena que eu não tenho muito tempo para pesquisar, uma
> > > vez eu fiz isto exportando um volume NFS com a opção "rootnosquash" , acho
> > > que é isto , procure no "man exports" que é possível evitar que o root
> > > remoto possa ganhar acesso ao filesystem com privilégios de admin.
> >
> > Eu implementei isto em minha residência em SJC para montar volumes NFS do
> > servidor NFS das máquinas sem disco .
> >
> > --
> > Fernando Fraga e Silva - beakman@iname.com
> > Undergraduated Mechanical Engineering Student from University of São Paulo
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> >
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
--
_ _ _| _ _ | _ . _ | _ http://ukug.uk.freebsd.org/~claviola/key.txt
(_(_|| |(_)_) |(_|\/|(_)|(_| uin#: 55799523 (icq)
Linux: the choice of a GNU generation - Registered Linux User #103594
When a trainstation is were a train stops what is a workstation?
Reply to: