Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Приложение NIS.

Рубрика: Безопасность -> Защита сервисов
Метки: |
Среда, 19 августа 2009 г.
Просмотров: 5194
Подписаться на комментарии по RSS

     Что такое NIS?

     Network Information Service (NIS), известный также как Yellow Pages или YP (название было изменено из-за проблем с авторскими правами), применяется для распространения информации по машинам сети. Так как информация хранится централизованно на одном узле сети (этот узел называется мастером), NIS дает возможность легко синхронизировать данные. Чаще всего он применяется для распространения файлов /etc/passwd по сети - чтобы убедится, что на каждой машине сети одинаковые копии файла passwd.

Кроме файла passwd, NIS может употребляться для распространения прочих важных файлов, к примеру /etc/hosts, /etc/resolv.conf, /etc/exports и т.д.


     NIS не представляется безопасным приложением, поэтому была разработана его безопасная версия - NIS+. Несмотря на то, что NIS+ представляется более безопасным, он значительно сложнее в настройке, к тому же обладает частичной поддержкой Linux. Linux-версия NIS+ настолько «глюковая», что вместо нее безопаснее применять небезопасный NIS.

     В современных дистрибутивах NIS не ставится по умолчанию, хотя и есть в составе дистрибутива.

     RPC.

     Как и NFS, NIS использует механизм Sun RPC, поэтому все, что было ранее сказано о RPC и NFS, касается и RPC для NIS. Со стороны сервера NIS использует RPC-сервис ypserv, порт которого надо задать с помощью опции -р - чтобы его можнобыло контролировать с помощью IPTables.

     Так как NIS - это RPC-сервис, нужно разрешить клиентам подключаться к portmapper'y (порт 111/tcp/udp), как было показано раньше.

     Домены.

     В контексте NIS домен - это NFS-сервер и клиенты, которые управляются этим сервером. Вначале NIS-домен похож на домен DNS, но нужно запомнить, что это две большие разницы. Имя DNS-домена не должно совпадать с именем NIS-домена.

     Почему не надо устанавливать одинаковые имена для DNS-домена и NIS-домена? Во-первых, чисто из практических соображений - чтобы одинаковые имена не сбивали с толку приложения (к примеру, известны проблемы с Sendmail). Во-вторых, это небезопасно. Если на NIS-сервере не включен контроль доступа, какой угодно пользователь, у которого есть доменное имя NIS, расценивается как NIS-клиент и может получить какой угодно файл с NIS-сервера. Если доменные имена NIS и DNS совпадают, то какой угодно компьютер домена DNS может получить доступ к NIS-серверу, что не желательно.

     Управление доступом.

     Клиенты, которым разрешен доступ к NIS-серверу, перечислены в файле /var/yp/securenets. В данном файле задаются пары маска/сеть, если надо задать отдельный узел (маска 255.255.255.255), то применяется служебное слово host. Например:

255.0.0.0 127.0.0.0 # разрешить доступ loopback-адресам

host 172.16.5.5 # разрешить доступ узлу 172.16.5.5

255.255.255.255 10.1.2.3 # разрешить доступ узлу 10.1.2.3 255.255.255.0 172.16.1.0 # разрешить доступ сети 172.16.1.0

     Нужно помнить, что NIS-сервер не должен быть доступен компьютерам, находящимся за пределами обслуживаемой сети.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)