Здравствуйте.
Есть локальная сеть на centos. В ней есть nis-сервер. Реализована система сетевых профилей пользователей, при логине монтируется нужная NFS-директория.
Проблема в том, что локальный root на любой машине может методом su - username стать этим самым username не вводя пароль и оказавшись в домашней директории username.
Можно ли как-то прикрыть такое безобразие именно средствами NIS?
Или выход только в миграции, допустим, на LDAP или отъема паролей локального root у простых пользователей?
Nis. Локальный root (Локальный root может стать кем угодно)
Модератор: SLEDopit
Re: Nis. Локальный root
Локальный root может без всяких su - username чего хочешь и где захочешь.
А пароль локального root у простых пользователей - это конечно, да...
А пароль локального root у простых пользователей - это конечно, да...
Re: Nis. Локальный root
Согласен с вами, что локальный root это за гранью.
Но пока что другого выхода нет.
Т.е. вы считаете, что на уровне NIS никак нельзя запретить локальному root'у становиться любым NIS'овым юзером. Ладно бы пусть локальным. Но это же сетевой.
Но пока что другого выхода нет.
Т.е. вы считаете, что на уровне NIS никак нельзя запретить локальному root'у становиться любым NIS'овым юзером. Ладно бы пусть локальным. Но это же сетевой.
Re: Nis. Локальный root
Не знаю, что такое NIS даже близко, не сталкивался. Но думаю, что не может быть в linux и том же NIS такого компрометирования идеи безопасности. Или неправильно сконфигурировали, или одно из двух))
А NFS у меня монтируется вообще автоматом, без всякого root. На сервере должным образом настраивается /etc/export, а на клиенте банально строка в /etc/fstab. То есть контроль по IP. Если ничего не забыл, давно дело было.
А NFS у меня монтируется вообще автоматом, без всякого root. На сервере должным образом настраивается /etc/export, а на клиенте банально строка в /etc/fstab. То есть контроль по IP. Если ничего не забыл, давно дело было.
Re: Nis. Локальный root
Эм. Я правильно понимаю, что вы хотите оставить пользователям пароль от локального рута, но запретить им становиться из-под рута другим пользователем (пусть даже и NIS)?
Единственный реальный способ -- застращать пользователей. Под страхом смертной казни. Но работает не на 100% :)
А от чего вас это спасёт?
Почитайте про sudo. Возможно, вам с его помощью можно решать задачи, требующие привилегированного доступа, без выдачи рутового пароля пользователям, и забыть о попытках ограничить рута в правах как о страшном сне (к тому же и невыполнимом).
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: Nis. Локальный root
Да, все так. Root же локальный. А NIS ведь не локальный. Насколько я помню (это давно было), локальный Администратор в Win не имеет таких же прав как и доменный Администратор, если есть сеть и действуют политики.
Зато конкретный ответ)
Планировалось, что как минимум от получения доступа и права на чтение файлы в домашних директориях других юзеров.
Да, да, это все я знаю, это все понятно. Сеть строилась не мной и наслаивалась чуть ли не десятилетиями ошибки на недочеты. Так что поменять враз весь уклад местной жизни не выходит. Нужно время которого пока нет. Но будет. Вот я и думал, что можно как-то может с малого начать.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Nis. Локальный root
Если прикрутить kerberos, он, по идее, должен решить эту проблему. Или я неправ?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Nis. Локальный root
Даже если вы и правы, то так не пойдет
У нас есть особо хитрое ПО в сети, в системных требованиях которого сказано - с kerberos не работаем и чтоб духу его тут не было.
У нас есть особо хитрое ПО в сети, в системных требованиях которого сказано - с kerberos не работаем и чтоб духу его тут не было.