Руководство администратора Linux по безопасности

       

NIS / NIS+


NIS и NIS+ (формально известны как ?yellow pages?) сокращение от Network Information Service. По существу NIS и NIS+ обеспечивают средства, чтобы распределить файлы паролей, файл group, и другие файлы конфигурации по машинам в сети, обеспечивая синхронизацию паролей (среди других услуг). NIS+ по существу NIS с несколькими расширениями (обычно связанными с защитой).

Чтобы использовать NIS, надо установить мастер-сервер NIS, который будет хранить записи и позволять их менять. Он может распределять записи на вторичные NIS-машины, которые содержат доступную только для чтения копию записей (но они могут быть переведены в режим чтение-запись, если что-то пошло не так). Клиентура NIS-сети запрашивает части информации и копирует их непосредственно в свои файлы конфигурации (типа /etc/passwd), таким образом делая их доступными в местном масштабе. Используя NIS Вы можете обеспечивать несколько тысяч автоматизированных рабочих мест и серверов с идентичными наборами usernames, информации о пользователях, паролей и т.п. при уменьшении кошмаров администрирования.

Однако это часть проблемы: в совместном использовании этой информации Вы делаете ее доступной для нападавших. NIS+ пытается ее решить, но NIS+ чрезвычайный кошмар при установке. NIS+ использует безопасный RPC, который может использовать одиночное DES шифрование (слабовато, конечно, но все же лучше, чем ничего). Полагаться на него особо не стоит.

Альтернативная стратегия должна использовать некоторый сорт VPN (подобно FreeS/WAN, который, кажется, решает много проблем) и шифровать данные прежде, чем они попадут в сеть. Имеется NIS / NIS+ HOWTO:

http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html, и O?Reilly имеет превосходную книгу по предмету,

"Managing NFS and NIS". NIS / NIS+ выполняется над RPC, который использует порт 111, tcp и udp. Это определенно должно быть ограничено пределами Вашей сети, но полностью защитить NIS / NIS+, видимо, нельзя. Так как NIS и NIS+ RPC-основанные услуги, они имеют тенденцию использовать высокие номера портов (то есть, выше 1024) несколько произвольным способом, делая firewalling этого довольно трудным. Самые лучшие решения состоят в том, чтобы поместить сервер(а) NIS во внутреннюю сеть, которая блокирована полностью. Имеется также превосходное руководство по безопасности NIS на

http://www.eng.auburn.edu/users/doug/nis.html.

ipfwadm -I -a accept -P udp -S 10.0.0.0/8 -D 0.0.0.0/0 111 ipfwadm -I -a accept -P udp -S some.trusted.host -D 0.0.0.0/0 111 ipfwadm -I -a deny -P udp -S 0.0.0.0/0 -D 0.0.0.0/0 111

или

ipchains -A input -p udp -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 111 ipchains -A input -p udp -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 111 ipchains -A input -p udp -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 111



Содержание раздела