Jederman weiss, dass NIS nicht gesichert ist. Trotzdem sind die Dienste,
die es zur Verfügung stellt so nützlich, dass es schade wäre, es nicht zu
benutzen. Man muss deshalb einige Vorsichtsmassnahmen ausserhalb von NIS
treffen, wenn man es benutzen will.
Genauso wie es einige Passwörter gibt, die man leicht erraten kann,
werden auch NIS-Domänennamen benutzt, die vorhersehbar sind.
Offensichtliche Kandidaten sind, wenn man einmal den (Maschinen-) Namen
des NIS-Servers herausbekommen hat, der komplette oder teilweise Name
des Servers oder auch der Name der Organisation, zu der der Server
gehört. ypwhich gestattet es, den Namen der Domäne zu testen!
Der NIS-Domänenname erscheint an mehreren Stellen, besonders im
Verzeichnis /var/yp, oder auch in einem Unterverzeichnis, das während
der NIS-Installation angelegt wurde (auf dem(n) Server(n), aber auch auf
den Clients) und den Namen der NIS-Domäne trägt. Man muss deshalb die
Zugangsrechte zu diesem Verzeichnis genau festlegen. Man darf auf es
keinen Fall, nicht einmal read only, mit NFS exportieren. Jeder kann
dann dieses Verzeichnis auf seiner eigenen Maschine mounten, um den
Domänennamen herauszufinden.
Darüber hinaus schadet es nicht, tcp_wrapper zu benutzen. Damit kann man
nämlich den portmap-Prozess kontrollieren, und verhindern, dass jederman
RPC-Requests auf die eigene Maschine absetzt.
Es ist ebenfalls von Vorteil, die Defaultroute nicht über Ihren
NIS-Server zu legen, sondern statisches Routing zu den Clients und den
Slaveservern zu benutzen. Der Server kennt auf diese Art nur Routen zu
genau festgelegten Maschinen und kann deshalb nicht auf Requests von
unbekannten Maschinen antworten.
Auf dem Router-Level erlaubt eine Firewall, den Zugang zu den
NIS-Servern effektiv zu kontrollieren.
Diese Ratschläge ergeben sich aus dem gesunden Menschenverstand. Sie
verändern nicht die Sicherheit von NIS selbst, sondern nur den Rahmen
darum herum.Trotz dieser Probleme bleibt NIS ein effektives und
praktisches Werkzeug.
|