Nis. Локальный root (Локальный root может стать кем угодно)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Nis. Локальный root

Сообщение v1k3ng »

Здравствуйте.
Есть локальная сеть на centos. В ней есть nis-сервер. Реализована система сетевых профилей пользователей, при логине монтируется нужная NFS-директория.
Проблема в том, что локальный root на любой машине может методом su - username стать этим самым username не вводя пароль и оказавшись в домашней директории username.
Можно ли как-то прикрыть такое безобразие именно средствами NIS?
Или выход только в миграции, допустим, на LDAP или отъема паролей локального root у простых пользователей?
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 1290
ОС: gentoo fluxbox

Re: Nis. Локальный root

Сообщение yoricI »

Локальный root может без всяких su - username чего хочешь и где захочешь.
А пароль локального root у простых пользователей - это конечно, да...
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Nis. Локальный root

Сообщение v1k3ng »

Согласен с вами, что локальный root это за гранью.
Но пока что другого выхода нет.
Т.е. вы считаете, что на уровне NIS никак нельзя запретить локальному root'у становиться любым NIS'овым юзером. Ладно бы пусть локальным. Но это же сетевой.
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 1290
ОС: gentoo fluxbox

Re: Nis. Локальный root

Сообщение yoricI »

Не знаю, что такое NIS даже близко, не сталкивался. Но думаю, что не может быть в linux и том же NIS такого компрометирования идеи безопасности. Или неправильно сконфигурировали, или одно из двух))
А NFS у меня монтируется вообще автоматом, без всякого root. На сервере должным образом настраивается /etc/export, а на клиенте банально строка в /etc/fstab. То есть контроль по IP. Если ничего не забыл, давно дело было.
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4730
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Nis. Локальный root

Сообщение SLEDopit »

v1k3ng писал(а):
21.03.2017 19:45
Согласен с вами, что локальный root это за гранью.
Но пока что другого выхода нет.
Эм. Я правильно понимаю, что вы хотите оставить пользователям пароль от локального рута, но запретить им становиться из-под рута другим пользователем (пусть даже и NIS)?
Единственный реальный способ -- застращать пользователей. Под страхом смертной казни. Но работает не на 100% :)

v1k3ng писал(а):
21.03.2017 19:45
Т.е. вы считаете, что на уровне NIS никак нельзя запретить локальному root'у становиться любым NIS'овым юзером. Ладно бы пусть локальным. Но это же сетевой.
А от чего вас это спасёт?

Почитайте про sudo. Возможно, вам с его помощью можно решать задачи, требующие привилегированного доступа, без выдачи рутового пароля пользователям, и забыть о попытках ограничить рута в правах как о страшном сне (к тому же и невыполнимом).
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Nis. Локальный root

Сообщение v1k3ng »

SLEDopit писал(а):
22.03.2017 01:41
Эм. Я правильно понимаю, что вы хотите оставить пользователям пароль от локального рута, но запретить им становиться из-под рута другим пользователем (пусть даже и NIS)?

Да, все так. Root же локальный. А NIS ведь не локальный. Насколько я помню (это давно было), локальный Администратор в Win не имеет таких же прав как и доменный Администратор, если есть сеть и действуют политики.

SLEDopit писал(а):
22.03.2017 01:41
Единственный реальный способ -- застращать пользователей. Под страхом смертной казни.

Зато конкретный ответ)
SLEDopit писал(а):
22.03.2017 01:41
А от чего вас это спасёт?

Планировалось, что как минимум от получения доступа и права на чтение файлы в домашних директориях других юзеров.
SLEDopit писал(а):
22.03.2017 01:41
Почитайте про sudo. Возможно, вам с его помощью можно решать задачи, требующие привилегированного доступа, без выдачи рутового пароля пользователям, и забыть о попытках ограничить рута в правах как о страшном сне (к тому же и невыполнимом).

Да, да, это все я знаю, это все понятно. Сеть строилась не мной и наслаивалась чуть ли не десятилетиями ошибки на недочеты. Так что поменять враз весь уклад местной жизни не выходит. Нужно время которого пока нет. Но будет. Вот я и думал, что можно как-то может с малого начать.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Nis. Локальный root

Сообщение Bizdelnick »

Если прикрутить kerberos, он, по идее, должен решить эту проблему. Или я неправ?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

v1k3ng
Сообщения: 98
ОС: centos/ubuntu

Re: Nis. Локальный root

Сообщение v1k3ng »

Даже если вы и правы, то так не пойдет :(
У нас есть особо хитрое ПО в сети, в системных требованиях которого сказано - с kerberos не работаем и чтоб духу его тут не было.
Спасибо сказали: