PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : root Zugriff auf NIS-Server sperren



natanael
05.05.04, 13:28
Hallo,
wir sind z. Z. dabei hier in der Schule ein Linux für die Schühlerrechner zu konfigurieren (der Server läuft schon mit Linux). Dabie sind wir auf das Problem gestoßen, dass ein lokal angemeldeter root vollen Zugriff auf den Server hat, dies kann so also auch mit einer Knoppix-CD erreicht werden.

Könnt ihr mir bitte helfen, wie man das auf dem NIS-Server sperrt.
Da unser Linuxprojekt sonst nicht vorwerts gehen kann.

Auf den Client-Rechner läuft Debian testing, auf dem Server läuft SuSE (ich weis die Version nicht genau aber etwa 8-9)

Terran Marine
05.05.04, 13:42
Hallo,
wir sind z. Z. dabei hier in der Schule ein Linux für die Schühlerrechner zu konfigurieren (der Server läuft schon mit Linux). Dabie sind wir auf das Problem gestoßen, dass ein lokal angemeldeter root vollen Zugriff auf den Server hat, dies kann so also auch mit einer Knoppix-CD erreicht werden.


Benutzt in der exports die Option :

root_squash

noch besser ist :

squash_uids und dort alle Systemaccounts rein.

Details dazu :

man exports

Gruß
Terran

Harry
05.05.04, 15:02
Benutzt in der exports die Option :

root_squash

noch besser ist :

squash_uids und dort alle Systemaccounts rein.

Details dazu :

man exports

Gruß
Terran

Ich verstehe jetzt nicht, was diese NFS-Optionen mit NIS zu tun haben aber vielleicht sprecht Ihr auch beide die gleiche Sprache, die ich einfach nicht verstehe ... ;)

@natanael: Könntest Du bitte präzise beschreiben, bei welcher Aktion auf einem Clientrechner der root-Benutzer vollen Zugriff auf den Server hat? Bootet er einfach einen Client mit einer Knoppix und hat dann root-Zugriff auf den Server? Also da fehlt irgendwie die entscheidende Information in Deinen Ausführungen über welchen Dienst das gehen soll.

Linux isn't that magic ;)

Harry

Terran Marine
05.05.04, 15:20
Ich verstehe jetzt nicht, was diese NFS-Optionen mit NIS zu tun haben aber vielleicht sprecht Ihr auch beide die gleiche Sprache, die ich einfach nicht verstehe ... ;)


Arrggghhhhhhh , wie kann ich denn das verwechseln!

Sorry

rabenkind
05.05.04, 21:40
Hi

eine sehr einfache Sicherung die aber ein etwas versierter User leicht umgehen kann wäre ein Eintrag in die /etc/hosts.deny oder .equiv auf dem server


hostname [username]

der darf oder halt verneinen sprich keiner ausser diesem darf.
Die Syntax steht in der entsprechenden man-seite (ich glaube portmap oder hosts_access).

greetz rabenkind :))

ps.: dieser Hinweis bezieht sich explizit auf NIS und stammt aus dem Buch "NFS and NIS" von O'Reilly

ProfBunny
05.05.04, 21:56
Hallo,

mit dem grsecurity patch kann man einen kernel komplett ohne root zugriff backen. Mußt natürlich um änderungen vorzunehmen immer einen anderen kernel booten.
Das ganze nützt dir aber nix , wenn der User lokalen zugriff auf den rechner hat und z.b. knoppix booten kann.

evtl Biospassword?
oder bin ich an der frage vorbeigeschossen?

Mfg
Profbunny

Harry
06.05.04, 08:41
Hallo,

ich finde es schon recht interessant, wie viele Antworten hier in diesem Thread reinkommen, ohne dass ihr genau wissen könnt, wo das Problem von natanael liegt. Über NIS komme ich niemals auf einen anderen Server - NIS ist ein Informationsdienst aber kein Verzeichnisfreigabedienst oder etwas ähnliches. ;)

Seine Frage ist meines Erachtens relativ sinnfrei. Oder habt Ihr alle eine Glaskugel, die ich noch nicht habe? Wo kann man die kaufen? :D

Darüber hinaus scheint natanael die Antwort auf seine Frage nicht wirklich zu interessieren - ansonsten hätte er auf mein letztes Posting schon längst geantwortet :cool:

Harry

natanael
13.05.04, 12:57
Hallo,
Darüber hinaus scheint natanael die Antwort auf seine Frage nicht wirklich zu interessieren - ansonsten hätte er auf mein letztes Posting schon längst geantwortet :cool:
Harry

Es interresiert mich schon mur leider war ich in letzter Zeit eher wenig online und konnte so nicht auf die Antworten Reagieren.

Ich versuche jetzt nochmal das Problem genauer zu erleutern.

Wir hab hier in der Schule zwei Linuxclients, an denen man sich über NIS an unserem Server anmelden kann. Dabei wird das /home -Verszeichniss vom Server über NFS gemountet.
Nun hat aber der lokale root kompletten schreib und lese zugriff auf dieses Verzeichniss (auf dem Server).
Nun kann dies auch mit einer Knoppix-CD erreicht werden.

meine Frage ist nun, wie man verhindert, dass ein lokaler root vollen zugriff auf die NFS-gemeounteten Verzeichnisse hat.
Dies muss aber Serverseitig gemacht werden, da wir keine Knoppix-CD und Laptop Kontrolle an der Schultür einrichten wollen.

ich hoffe, das das jetzt deutlich genug war.

Harry
13.05.04, 13:50
Einfach die Option "root_squash" in der /etc/exports auf dem Server für die betreffende Freigabe setzen (diese Option sollte eigentlich als Defaultwert sowieso greifen, solange man nicht die Option "no_root_squash" aktiviert).

Harry

Terran Marine
13.05.04, 13:54
Einfach die Option "root_squash" in der /etc/exports auf dem Server für die betreffende Freigabe setzen (diese Option sollte eigentlich als Defaultwert sowieso greifen, solange man nicht die Option "no_root_squash" aktiviert).

Harry

Dann hatte ich mit meinem ersten Posting oben, unbewusst, wohl doch mehr Recht, als zuerst gedacht :)

natanael
14.05.04, 23:42
Einfach die Option "root_squash" in der /etc/exports auf dem Server für die betreffende Freigabe setzen (diese Option sollte eigentlich als Defaultwert sowieso greifen, solange man nicht die Option "no_root_squash" aktiviert).

Harry

Was bewirkt diese Option genau?

Terran Marine
15.05.04, 12:05
Was bewirkt diese Option genau?

Dadurch hat der root-User nicht seine eigentliche uid=0 und damit volle Rechte auf dem System, sondern nur die Rechte des Users nobody (sofern vorhanden) oder noch geringere.

Gruß
Terran

natanael
16.05.04, 00:35
Dadurch hat der root-User nicht seine eigentliche uid=0 und damit volle Rechte auf dem System, sondern nur die Rechte des Users nobody (sofern vorhanden) oder noch geringere.

Gruß
Terran

Welcher User root ist das dann?
Ist davon dann auch der lokale root betroffen oder werden dann nur die rechte die root über NIS hat heruntergesetzt?

Harry
16.05.04, 12:06
Das Kommando "man 5 exports" sollte Dir ausführlichst Antworten auf Deine Fragen geben können.

Harry