phoen][x
06.11.02, 07:20
Heute mal wieder ein nettes Thema: Es geht um Passwortsicherheit bei NIS.
Für die die es nicht wissen sollten: NIS/NFS wird oft als Ersatz für Active Directory beschrieben. Mit NIS ist es möglich, diverse Anmeldeserver (Master und Slaves) mit Maps auszustatten die Benutzerkonten, Passwörter und andere relevante Informationen enthalten (generell ist es möglich eine menge Dateien über NIS zu verbreiten, beispielsweise die /etc/host). NFS exportiert Verzeichnisse von Servern und läßt den Client diese aus dem Netzwerk mounten.
Als Beispiel hierfür: Euer Server exportiert /home in euer lokales Netz und die Clients mounten dieses Verzeichnis beim Starten mit der /etc/fstab. Sollte sich nun ein User über NIS anmelden, hat er auf sämtlichen Clients das gleiche ~. Das läßt sich in etwa mit Roaming Profiles bei Windows NT vergleichen.
Nun stellt sich das Problem, dass der NIS Server (ypserv) die /etc/shadow ins Netzwerk propagieren *muss*, um den Benutzern der Clients eine Möglichkeit zu geben sich zu authentifizieren. Das ist der springende Punkt. Der root user kann geschützt werden, da meist eine lokale /etc/shadow mit der Hash des root vorhanden ist; somit kann root einfach aus der /etc/shadow des NIS Servers entfernt werden - da er ja überall lokal exisitiert. Aber sämtliche anderen Benutzer müßen aus dem oben angesprochenen Punkt in der /etc/shadow des NIS Servers existieren - und jeder Benutzer kann diese Datei mit "ypcat" auslesen und die Passwort-Hashes mit einer Bruteforce Methode zerlegen.
Meine Frage nun: Wie sichere den NIS Server gegen dieses Vorgehen ab? NIS+?
-phoen][x-
Für die die es nicht wissen sollten: NIS/NFS wird oft als Ersatz für Active Directory beschrieben. Mit NIS ist es möglich, diverse Anmeldeserver (Master und Slaves) mit Maps auszustatten die Benutzerkonten, Passwörter und andere relevante Informationen enthalten (generell ist es möglich eine menge Dateien über NIS zu verbreiten, beispielsweise die /etc/host). NFS exportiert Verzeichnisse von Servern und läßt den Client diese aus dem Netzwerk mounten.
Als Beispiel hierfür: Euer Server exportiert /home in euer lokales Netz und die Clients mounten dieses Verzeichnis beim Starten mit der /etc/fstab. Sollte sich nun ein User über NIS anmelden, hat er auf sämtlichen Clients das gleiche ~. Das läßt sich in etwa mit Roaming Profiles bei Windows NT vergleichen.
Nun stellt sich das Problem, dass der NIS Server (ypserv) die /etc/shadow ins Netzwerk propagieren *muss*, um den Benutzern der Clients eine Möglichkeit zu geben sich zu authentifizieren. Das ist der springende Punkt. Der root user kann geschützt werden, da meist eine lokale /etc/shadow mit der Hash des root vorhanden ist; somit kann root einfach aus der /etc/shadow des NIS Servers entfernt werden - da er ja überall lokal exisitiert. Aber sämtliche anderen Benutzer müßen aus dem oben angesprochenen Punkt in der /etc/shadow des NIS Servers existieren - und jeder Benutzer kann diese Datei mit "ypcat" auslesen und die Passwort-Hashes mit einer Bruteforce Methode zerlegen.
Meine Frage nun: Wie sichere den NIS Server gegen dieses Vorgehen ab? NIS+?
-phoen][x-