Rating@Mail.ru
IPB
Etersoft - from Windows to Linux
Etersoft
решения для перехода
с Windows на Linux
Дружественные сайты: alv.me и Rus-Linux.net

Здравствуйте, гость ( Вход | Регистрация ) Поиск · 

 
Reply to this topic Start new topic
> Nis. Локальный root, Локальный root может стать кем угодно
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Mar 18 2017, в 19:02
Сообщение #1


Интересующийся новичок
Иконка группы

Сообщений: 63

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Здравствуйте.
Есть локальная сеть на centos. В ней есть nis-сервер. Реализована система сетевых профилей пользователей, при логине монтируется нужная NFS-директория.
Проблема в том, что локальный root на любой машине может методом su - username стать этим самым username не вводя пароль и оказавшись в домашней директории username.
Можно ли как-то прикрыть такое безобразие именно средствами NIS?
Или выход только в миграции, допустим, на LDAP или отъема паролей локального root у простых пользователей?
Go to the top of the page
 
+Quote Post
yoricI
bookmark
gyfbbdvkffmrljmmmwd
Mar 21 2017, в 08:25
Сообщение #2


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: gentoo fluxbox
Город: Нью-Сибирск

Группа: Участники

Локальный root может без всяких su - username чего хочешь и где захочешь.
А пароль локального root у простых пользователей - это конечно, да...
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Mar 21 2017, в 19:45
Сообщение #3


Интересующийся новичок
Иконка группы

Сообщений: 63

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Согласен с вами, что локальный root это за гранью.
Но пока что другого выхода нет.
Т.е. вы считаете, что на уровне NIS никак нельзя запретить локальному root'у становиться любым NIS'овым юзером. Ладно бы пусть локальным. Но это же сетевой.
Go to the top of the page
 
+Quote Post
yoricI
bookmark
gyfbbdvkffmrljmmmwd
Mar 21 2017, в 20:43
Сообщение #4


Постоялец
Иконка группы

Сообщений: 161

Вставить имя   :   Цитата

ОС: gentoo fluxbox
Город: Нью-Сибирск

Группа: Участники

Не знаю, что такое NIS даже близко, не сталкивался. Но думаю, что не может быть в linux и том же NIS такого компрометирования идеи безопасности. Или неправильно сконфигурировали, или одно из двух))
А NFS у меня монтируется вообще автоматом, без всякого root. На сервере должным образом настраивается /etc/export, а на клиенте банально строка в /etc/fstab. То есть контроль по IP. Если ничего не забыл, давно дело было.
Go to the top of the page
 
+Quote Post
SLEDopit
bookmark
gyfbbdvkffmrljmmmwd
Mar 22 2017, в 01:41
Сообщение #5


фанат консоли (=
Иконка группы

Сообщений: 4324

Вставить имя   :   Цитата

ОС: GNU/Debian, RHEL

Группа: Модераторы разделов

Цитата(v1k3ng @ 21st March 2017 - в 19:45) *
Согласен с вами, что локальный root это за гранью.
Но пока что другого выхода нет.
Эм. Я правильно понимаю, что вы хотите оставить пользователям пароль от локального рута, но запретить им становиться из-под рута другим пользователем (пусть даже и NIS)?
Единственный реальный способ -- застращать пользователей. Под страхом смертной казни. Но работает не на 100% :)

Цитата(v1k3ng @ 21st March 2017 - в 19:45) *
Т.е. вы считаете, что на уровне NIS никак нельзя запретить локальному root'у становиться любым NIS'овым юзером. Ладно бы пусть локальным. Но это же сетевой.
А от чего вас это спасёт?

Почитайте про sudo. Возможно, вам с его помощью можно решать задачи, требующие привилегированного доступа, без выдачи рутового пароля пользователям, и забыть о попытках ограничить рута в правах как о страшном сне (к тому же и невыполнимом).


--------------------
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Mar 23 2017, в 09:59
Сообщение #6


Интересующийся новичок
Иконка группы

Сообщений: 63

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Цитата(SLEDopit @ 22nd March 2017 - в 04:41) *
Эм. Я правильно понимаю, что вы хотите оставить пользователям пароль от локального рута, но запретить им становиться из-под рута другим пользователем (пусть даже и NIS)?

Да, все так. Root же локальный. А NIS ведь не локальный. Насколько я помню (это давно было), локальный Администратор в Win не имеет таких же прав как и доменный Администратор, если есть сеть и действуют политики.

Цитата(SLEDopit @ 22nd March 2017 - в 04:41) *
Единственный реальный способ -- застращать пользователей. Под страхом смертной казни.

Зато конкретный ответ)
Цитата(SLEDopit @ 22nd March 2017 - в 04:41) *
А от чего вас это спасёт?

Планировалось, что как минимум от получения доступа и права на чтение файлы в домашних директориях других юзеров.
Цитата(SLEDopit @ 22nd March 2017 - в 04:41) *
Почитайте про sudo. Возможно, вам с его помощью можно решать задачи, требующие привилегированного доступа, без выдачи рутового пароля пользователям, и забыть о попытках ограничить рута в правах как о страшном сне (к тому же и невыполнимом).

Да, да, это все я знаю, это все понятно. Сеть строилась не мной и наслаивалась чуть ли не десятилетиями ошибки на недочеты. Так что поменять враз весь уклад местной жизни не выходит. Нужно время которого пока нет. Но будет. Вот я и думал, что можно как-то может с малого начать.
Go to the top of the page
 
+Quote Post
Bizdelnick
bookmark
gyfbbdvkffmrljmmmwd
Mar 23 2017, в 18:25
Сообщение #7


grammatikführer
Иконка группы

Сообщений: 12416

Вставить имя   :   Цитата

ОС: Debian GNU/Linux
Город: Санкт-Петербург

Группа: Модераторы разделов

Если прикрутить kerberos, он, по идее, должен решить эту проблему. Или я неправ?


--------------------
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
пожалуйста
приемлемо
проблема
пробовать
трафик
Go to the top of the page
 
+Quote Post
v1k3ng
bookmark
gyfbbdvkffmrljmmmwd
Mar 24 2017, в 06:56
Сообщение #8


Интересующийся новичок
Иконка группы

Сообщений: 63

Вставить имя   :   Цитата

ОС: centos/ubuntu
Город: tyumen

Группа: Участники

Автор темы
Даже если вы и правы, то так не пойдет sad.gif
У нас есть особо хитрое ПО в сети, в системных требованиях которого сказано - с kerberos не работаем и чтоб духу его тут не было.
Go to the top of the page
 
+Quote Post

 Reply to this topic Start new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 26th May 2017 - в 12:07




Rating@Mail.ru