[ Pobierz całość w formacie PDF ]
.Tam powinieneS znalexæwskazówkê, gdzie le¿y problem.Serwer Tobiasa nie ma tej opcji.Bezpieczeñstwo serwera NISZ punktu widzenia bezpieczeñstwa NIS ma podstawow¹ wadê: plik passwd jest do-stêpny praktycznie dla ka¿dego w ca³ym Internecie, czyli równie¿ dla sporej liczbypotencjalnych intruzów.Kiedy intruz wie, jak nazywa siê twoja domena NIS, i znaadres serwera, mo¿e po prostu wys³aæ zapytanie o mapê passwd.byname i natychmiastuzyska wszystkie has³a z twojego systemu (w postaci zaszyfrowanej).Z pomoc¹szybkiego programu do ³amania hase³, jak crack, i dobrego s³ownika, odgadniêciehase³, przynajmniej kilku u¿ytkowników, nie stanowi problemu.Tu w³aSnie przydaje siê opcja securenets.Na podstawie adresów IP lub numerów sie-ci zezwala na dostêp do twojego serwera NIS tylko pewnym hostom.Ostatnia wer-sja ypserv implementuje tê funkcjê na dwa sposoby.Pierwszy opiera siê na specjaln-ym pliku konfiguracyjnym /etc/ypserv.securenets, a drugi u¿ywa odpowiednich pli-ków /etc/hosts.allow i /etc/hosts.deny, które omówiliSmy w rozdziale 12, Wa¿ne funkcjesieciowe*.Aby wiêc ograniczyæ dostêp do hostów z browaru, administrator sieci po-winien dodaæ poni¿szy wiersz do pliku hosts.allow:ypserv: 172.16.2.Pozwoli to wszystkim hostom o adresach IP 172.16.2.0 na dostêp do serwera NIS.Aby zabroniæ dostêpu wszystkim pozosta³ym hostom, musisz umieSciæ w plikuhosts.deny nastêpuj¹cy wpis:ypserv: ALLNumery IP nie s¹ jedynym sposobem na okreSlenie hostów (lub sieci) w plikuhosts.allow i hosts.deny.Szczegó³y znajdziesz na stronie podrêcznika hosts_access(5)w twoim systemie.Jednak pamiêtaj, ¿e nie mo¿esz u¿ywaæ nazw hosta lub domen wewpisieypserv.Je¿eli podasz nazwê hosta, serwer bêdzie próbowa³ j¹ rozwi¹zaæ,ale resolver z kolej wywo³a ypserv i wejdziesz w nieskoñczon¹ pêtlê.Aby skonfigurowaæ bezpieczeñstwosecurenetsza pomoc¹ metody /etc/ypserv.securenets, musisz stworzyæ plik konfiguracyjny /etc/ypserv.securenets.Ten plik konfi-guracyjny ma prost¹ strukturê.Ka¿dy wiersz opisuje host lub sieæ, które maj¹ dostêpdo serwera.Wszelkie adresy nie opisane przez wpisy w tym pliku nie bêd¹ mia³ydostêpu do serwera.Wiersz rozpoczynaj¹cy siê do znaku # bêdzie traktowany jakokomentarz.Przyk³ad 13-1 pokazuje, jak wygl¹da prosty plik /etc/ypserv.securenets.* W³¹czenie metody /etc/hosts.allow mo¿e wymagaæ ponownej kompilacji serwera.Przeczytaj instrukcjezawarte w pliku README do³¹czonym do pakietu dystrybucyjnego.236 Rozdzia³ 13: System informacji sieciowejPrzyk³ad 13-1.Przyk³adowy plik ypserv.securenets# dopuszczenie po³¹czeñ z lokalnego hosta - potrzebnehost 127.1# to samo co 255.255.255.255 127.1## dopuszczenie po³¹czeñ z dowolnego hosta z sieci browaru# wirtualnego255.255.255.0 172.16.1.0#Pierwszy wpis w ka¿dym wierszu to maska sieci, a s³owo kluczowehostjest trak-towane jako "maska sieci 255.255.255.255.Drugi wpis w ka¿dym wierszu to adresIP, którego dotyczy maska sieci.Trzecia mo¿liwoSæ to u¿ycie bezpiecznego portmappera zamiast securenets w ypserv.Bezpieczny portmapper (portmap-5.0) wykorzystuje tak¿e schemat hosts.allow, aleudostêpnia go dla wszystkich serwerów RPC, a nie tylko dla ypserv*.Jednak nie powi-nieneS u¿ywaæ jednoczeSnie opcji securenets i bezpiecznego portmappera, poniewa¿spowoduje to nadmiar uwierzytelniania.Konfigurowanie klienta NIS z GNU libcOpiszemy teraz i omówimy konfiguracjê klienta NIS-a wykorzystuj¹cego bibliotekêGNU libc.Pierwszym krokiem powinno byæ powiadomienie klienta NIS, którego serwera mau¿ywaæ.WspomnieliSmy wczeSniej, ¿e to ypbind dla Linuksa pozwala ci na skonfigu-rowanie w³aSciwego serwera NIS.DomySlne zachowanie polega na szukaniu serwe-ra w sieci lokalnej.Je¿eli istnieje prawdopodobieñstwo, ¿e konfigurowany host (naprzyk³ad laptop) bêdzie przenoszony z jednej domeny do drugiej, powinieneS pozo-stawiæ plik /etc/yp.conf pusty i poszukiwaæ serwera w sieci lokalnej.Bezpieczniejsza konfiguracja hostów polega na ustawieniu nazwy serwera w plikukonfiguracyjnym /etc/yp.conf.Bardzo prosty plik dla hosta z sieci winiarni mo¿ewygl¹daæ tak:# yp.conf - Konfiguracja YP dla biblioteki GNU libc#ypserver vbardolinoDyrektywaypservermówi twojemu hostowi, by u¿ywa³ podanej nazwy jako ser-wera NIS dla domeny lokalnej.W tym przyk³adzie podaliSmy serwer NIS vbardoli-no.OczywiScie w pliku hosts musi znajdowaæ siê adres IP odpowiadaj¹cy vbardoli-no.Mo¿esz równie¿ u¿yæ samego adresu IP jako argumentuserver.W postaci pokazanej w przyk³adzie polecenie ypserver informuje ypbind, aby u¿y-wa³o serwera o zadanej nazwie bez wzglêdu na to, jaka jest aktualna domena NIS.Je-¿eli jednak czêsto przenosisz swój komputer pomiêdzy ró¿nymi domenami NIS,warto zachowaæ w pliku yp.conf informacje o serwerach dla kilku domen.Umiesz-* Bezpieczny portmapper jest dostêpny przez anonimowy serwer FTP pod adresem ftp.win.tue.nl wka-talogu /pub/security/Konfigurowanie klienta NIS z GNU libc 237czasz je tam za pomoc¹ dyrektywydomain.Na przyk³ad móg³byS zmieniæ po-przedni przyk³adowy plik, aby dla laptopa wygl¹da³ tak:# yp.conf - Konfiguracja YP dla biblioteki GNU libc#domain winery server vbardolinodomain brewery server vstoutPozwala ci to pod³¹czyæ laptopa do dowolnej z dwóch domen przez ustawieniew czasie inicjacji komputera odpowiedniej domeny NIS poleceniem domainname.Klient NIS u¿ywa serwera odpowiedniego dla danej domeny.Istnieje trzecia mo¿liwoSæ, która mo¿e siê przydaæ.Dotyczy sytuacji, gdy nie znaszani nazwy, ani adresu IP serwera u¿ywanego w okreSlonej domenie, ale obstajeszprzy u¿ywaniu sta³ej nazwy w pewnych domenach.Wyobraxmy sobie, ¿e chcemywymusiæ korzystanie z zadanego serwera w domenie winiarni, ale w domenie bro-waru chcemy szukaæ serwera w sieci.MoglibySmy zmodyfikowaæ nasz plik yp.confdo takiej postaci:# yp.conf - Konfiguracja YP dla biblioteki GNU libc#domain winery server vbardolinodomain brewery broadcastS³owo kluczowebroadcastmówi ypbind, by u¿ywa³ w domenie dowolnego, zna-lezionego serwera NIS.Po stworzeniu tego podstawowego pliku konfiguracyjnego i upewnieniu siê, ¿e jeston czytelny dla wszystkich, powinieneS wykonaæ swój pierwszy test pod³¹czenia siêdo serwera.Sprawdx, czy korzystasz z map rozpowszechnianych przez twój serwer,jak hosts.byname, i spróbuj je odczytaæ za pomoc¹ narzêdzia ypcat:# ypcat hosts.byname172.16.2.2 vbeaujolais.vbrew.com vbeaujolais172.16.2.3 vbardolino.vbrew.com vbardolino172.16.1.1 vlager.vbrew.com vlager172.16.2.1 vlager.vbrew.com vlager172.16.1.2 vstout.vbrew.com vstout172.16.1.3 vale.vbrew.com vale172.16.2.4 vchianti.vbrew.com vchiantiUzyskany wynik powinien przypominaæ to, co pokazaliSmy powy¿ej.Je¿eli pojawi³siê komunikat b³êdu o treSciCan'tbindtoserverwhichservesdomain, toalbo ustawiona przez ciebie nazwa domeny NIS nie ma serwera zdefiniowanegow pliku yp.conf, albo serwer z jakiegoS powodu jest nieosi¹galny.W tym drugimprzypadku sprawdx, czy ping do hosta daje pozytywny wynik, i czy serwer NIS rze-czywiScie dzia³a.Mo¿esz to sprawdziæ, u¿ywaj¹c polecenia rpcinfo, które powinno po-kazaæ nastêpuj¹cy wynik:# rpcinfo -u serwer ypservprogram 100004 version 1 ready and waitingprogram 100004 version 2 ready and waiting238 Rozdzia³ 13: System informacji sieciowejWybór odpowiednich mapJe¿eli jesteS w stanie skomunikowaæ siê z serwerem NIS, musisz zdecydowaæ, którepliki konfiguracyjne zast¹piæ innymi, a do których dodaæ mapy NIS-a.Przewa¿niebêdziesz chcia³ u¿ywaæ dwóch map NIS-a: do przeszukiwania hostów i do przeszu-kiwania hase³.Pierwsza jest szczególnie przydatna, je¿eli nie masz us³ugi nazewni-czej BIND.Druga pozwala na logowanie siê wszystkich u¿ytkowników na kontaz dowolnego systemu nale¿¹cego do domeny NIS.Ma to szczególne znaczenie, je-¿eli posiadasz centralny katalog /home, który hosty wspó³dziel¹ przez NFS.Mapa ha-se³ zostanie szczegó³owo omówiona w nastêpnym podrozdziale.Inne mapy, takie jak services
[ Pobierz całość w formacie PDF ]