Notícia publicada por brain em julho 23, 2004 02:57 PM
| TrackBack
flipe (flipe@hyperlinux.com.br) anunciou: "Neste tutorial vamos mostrar uma forma simples de como se criar em uma rede interna uma forma de montagem e autenticação remota. Vamos aprender mesmo como fazer um servidor-cliente de NIS rodar em sua rede, que em conjunto com o NFS poderá lhe dar uma forma simples de autenticação remota."
Eu nao entendo... ninguem bem da cuca usaria o NIS e NFS se soubesse os riscos que eles representam. E praticamente todas as distros ainda suportam essa dupla e as pessoas usam e incentivam o uso por meio de tutoriais de uma PENEIRA.
O NIS basta em qualquer cliente digitar ypcat passwd, pronto voce tem o login e a senha encriptada de todo mundo, agora é so usar o john sei la das quantas para desencriptar.
O NFS é so ir como root em qualquer cliente e digitar su - usuario, pimba, voce virou o usuario e tem direito de escrever na conta dele. Alguem com um notebook e entrar em algum lugar q tenha NFS instalado faz a festa.
Estes dias andei pesquisando como resolver estes problemas e desativar o NFS e NIS aqui da rede local.
E por incrivel que pareça, foi dificil encontrar uma solução. A minha soluçao foi entao usar o SAMBA para exportar o home para os clientes LINUX usando o PAM_MOUNT. Funcionou, so que nao posso montar o home do usuario do servidor (/home/user) no home na maquina cliente /home/user, pq quando o kde iniciar ele tenta criar uns arquivos .algumacoisa e o samba nao tem suporte a isso.
Mas beleza, da para montar num subdiretorio do /home/user e fica beleza.
Um problema resolvido, agora falta o da autenticaçao que continua sendo o NIS, to pensando em kerberos ou no proprio samba.
Mas moral da historia, usar SAMBA (apesar de ser muito bom e rapido) para compartilhar arquivos para maquinas Linux é osso.
Assim como qualquer outro sooftware, protocolo, tudo sofre atualizacoes e updates.
O NIS por exemplo, de longa data existe o NIS+, que tive o prazer de implantar em maquinas Solaris que nao compartilham do problema do ypcat passwd. Um sistema que realmente pode ser uma evolucao, ou um concorrente do NIS+ , que eh aceito em mais larga escala eh o LDAP.
Ja o problema do NFS, desdos primordios eh possivel , na maquina que compartilha, mapear o root de outras maquinas para o nobody. Assim o root de outras maquina nao pode acessar qualquer coisa. E em implementacoes mais modernas do NFS existe a ideia de autenticacao.
Agora se o linux continua aceitando a primeira versao do nis e do nfs, acho que eh um problema em especifico do seu linux , ou da sua distribuicao.
Nao meu amigo,
o NFS realmente mapeia o root remoto como nobody,
entao como root no cliente voce nao consegue fazer nada, mas basta um su - fulano na maquina cliente, ja que voce é root e pronto, voce vira fulano e pode escrever na conta do fulano, e ja li e reli o manual do NFS e a unica explicação que encontrei foi:
"That's good, and you should probably use root_squash on all the file systems you export. "But the root user on the client can still use su to become any other user and access and change that users files!" say you. To which the answer is: Yes, and that's the way it is, and has to be with Unix and NFS."
O Luciano está certo. O problema não é o root_squash, é que NFS acredita nas credenciais do cliente. E, sendo root no cliente, posso mudar meu UID/GID à vontade que o servidor vai acreditar em mim.
NFS é uma droga.
Luciano, quanto a usar samba para os homes, tem uma opção no servidor para habilitar extensões unix e acredito que então o KDE deva funcionar. Só não sei se já estava disponível em todas as versões.
Da manpage do smb.conf(5) do samba3 (a formatação pode sair errada aqui):
unix extensions (G)
This boolean parameter controls whether Samba implments the CIFS UNIX extensions, as defined by HP. These extensions enable Samba to better serve UNIX CIFS clients by supporting features such as symbolic links, hard links, etc... These extensions require a similarly enabled client, and are of no current use to Windows clients.
Default: unix extensions = yes
Luciano: O porque dar acesso root as maquinas clientes ? Isso nao entendo.
Arranca fora o su e pronto.
O pessoal fica perdendo tempo com besteiras.
O pq de dar acesso ao root aos clientes:
Simples, numa universidade, por exemplo, no departamento de engenharia de uma universidade federal, nao existe ninguem chamado O ADMINISTRADOR DE REDE, cada um cuida da sua maquina, logo cada um tem o root. E mesmo q nao fosse assim, conseguir o root de uma maquina se voce tem acesso fisico a ela eh moleza.
Alguem aqui ja olhou ou testou o openAFS?
andreas: Eu estou usando o samba3 mas nao habilitei essa funcao, mas se eh default deveria funcionar nao? Bom, mas valeu pela dica, vou testar...
O engracado eh que eu nao vejo discussao como essa sobre servidor de arquivos e autenticacao no linux nos foruns. Muito por outro lado, o que eu mais vejo eh que a dupla dinamica NIS e NFS eh realmente uma solucao e as pessoas nao se importam em usar, muito pelo contrario elas usam e acham que esta bom (espero que ninguem pense que eh seguro). Eu entendo pq realmente essa dupla ai eh a mais facil de instalar e configurar, mas tirando isso... putz... Quando eu resolver esse meu problema aqui, faco um tutorial sobre o pam_mount, samba, nis+, ou seja la o que for que eu consiga usar aqui e solucionar o meu POBLEMA.
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.