Re: Samma lösneord
Martin Juhlin <martin.juhlin@home.se> writes:
> torsdagen den 6 februari 2003 18.04 skrev Torbjorn Pettersson:
> > Martin Juhlin <martin.juhlin@home.se> writes:
> > > Hej
> > >
> > > Jag håller på att sätta upp ett nätverk med 8 datorer. Grejen är den att
> > > jag vill ha samma hemkatalog och lösenord på alla datorerna. För
> > > hemkatalogerna användar jag nfs och det ser ut att fungera bra. Men hur
> > > gör man med lösenorden och användarna? Jag vill ju gärna bara behöva
> > > lägga in användarna en gång och ifall någon byter sitt lösenord skall det
> > > bytas på alla datorer. Någon som har något förslag ?
> > >
> > > MvH
> > > Martin
> >
> > Kerberos + pam + "directory server", d.v.s. antingen ldap,
> > hesiod eller liknande. Allt finns som debian - paket.
>
> Hur gör med modul till pam för kerberos? Både libpam-krb5 och libpam-heimdal
> är enligt deras beskrivning endast för lokala logins !?
>
Nej, de är inte till för login alls. De är till för
authentiering, d.v.s. att bevisa att login;et är korrekt. Själva
login - informationen är vad du behöver directoryservern till.
>
> > Bara för att vara komplett så kan man ju nämna nis, som är
> > relativt enkelt att sätta upp och köra, speciellt jämfört med
> > ldap, men som har en del problem med säkerheten. Vilket ju
> > också nfs har i.o.f.s. Så jag hoppas att maskinerna inte står
> > direkt på internet?
>
> Jo, direkt ut på internet kommer de att vara. Så lite säkerhet hade inte
> skadat :) Så skall man använda nis bör man alltså kompletera med en
> brandvägg. Kan ju vara bra att veta.
>
> MvH
> Martin
Hmm...... Utan att veta ett dugg om hur din setup ser ut, annat
än att det är 8 maskiner, skulle jag säga så här, det finns
lite olika sätt man kan lösa det hela om man vill ha det säkert.
1) Flytta maskinerna så långt bort från internet som möjligt,
kör nis + nfs.
2) Förslag 1 + brandvägg med en mailgw + http proxy på. (eller
ev. en full NAT istället för enbart http proxy). Inga andra
maskiner än brandväggen ens i närheten av internet.
3) Ett vpn mellan maskinerna, antingen baserat på ipsec eller
ssl, med en separat brandvägg på varje maskin. nis resp. nfs
endast öppet över vpn;et.
4) samba, sfs eller afs istället för nfs. (Alla finns som debian
paket). Kör kerberos + ldap eller hesiod istället för nis.
Ett "snik" - förslag, om det är få personer som skall vara
inloggade o.s.v, och efterssom det låter som om du inte har
arbetat med liknande saker tidigare. Om det bara är du eller max
1-2 personer till inblandade, så skippa nis + nfs helt och
hållet och titta på vad du kan göra med ett program som heter
"unison". (finns också som debian - paket). Det kanske räcker
för vad du skall göra? Du kan ha det för att synkronisera
hemkataloger + /etc/passwd + /etc/shadow mellan maskinerna, och
om du väljer att köra unison över ssh så får du rätt så hög
säkerhet på det hela också.
Avslutningsvis, maskiner om maskiner som står på internet:
-) Stäng av så mycket tjänster från inetd som möjligt
-) Installera tcpwrappers
-) Om möjligt, kör någon form av paketfiltrering
Och gör absolut inget av följande:
-) Kör _inte_ nis på internet
-) Kör _inte_ nfs på internet
(Problemen med nis resp. nfs är att den säkerhet som finns
inbyggd i systen är baserad på antagandet att nätet är
"säkert", d.v.s. ej avlyssnat, ej innehåller förfalskade ip -
addresser eller kapade maskiner....)
Mvh Tobbe
--
######################################################################
Torbjörn Pettersson # Email tobbe@strul.nu
Vattugatan 5 # Web www.strul.nu/~tobbe
S-111 52 Stockholm, Sweden #
######################################################################
Reply to: