[ Pobierz całość w formacie PDF ]
.W tradycyjnych implementacjach NIS-a obowi¹zywa³y pewne ustalenia co do tego,kiedy mapy by³y zastêpowane innymi, a kiedy dodawane do oryginalnych informacji.Niektóre mapy, takie jak passwd, wymaga³y modyfikacji pliku passwd.Je¿eli zosta³a onawykonana niepoprawnie, tworzy³y siê dziury w bezpieczeñstwie.Aby unikn¹æ tychpu³apek, NYS i GNU libc wykorzystuj¹ ogólny schemat konfiguracji okreSlaj¹cy, czydany zestaw funkcji klienta u¿ywa oryginalnych plików, plików NIS czy NIS+i wja-kiej kolejnoSci.Ten schemat bêdzie opisany w dalszej czêSci tego rozdzia³u. 234 Rozdzia³ 13: System informacji sieciowejEksploatowanie serwera NISDoSæ ju¿ tej teoretycznej paplaniny.Czas przyjrzeæ siê, jak dzia³a rzeczywista kon-figuracja.W tym podrozdziale omówimy konfiguracjê serwera NIS.Je¿eli serwerNIS ju¿ dzia³a w twojej sieci, nie musisz tworzyæ w³asnego i mo¿esz bez szkody dlasiebie pomin¹æ ten podrozdzia³.Pamiêtaj, ¿e je¿eli zamierzasz eksperymentowaæ z serwerem, musisz uwa¿aæ, by niezdublowaæ nazwy domeny NIS.Mog³oby dojSæ do awarii us³ugi w ca³ej sieci.Niemówi¹c ju¿ o zdenerwowaniu wspó³u¿ytkowników.Istniej¹ dwie mo¿liwe konfiguracje serwera NIS: jako serwera g³Ã³wnego i jako podrzêd-nego.Konfiguracja serwera podrzêdnego daje dzia³aj¹cy komputer zapasowy na wypa-dek, gdyby serwer g³Ã³wny uleg³ awarii.Omówimy tutaj jedynie konfiguracjê serwerag³Ã³wnego.Dokumentacja serwera wyjaSnia ró¿nice miêdzy tymi dwoma konfiguracja-mi, a wiêc zajrzyj do niej, gdybyS musia³ skonfigurowaæ serwer podrzêdny.Obecnie istniej¹ dwa darmowe serwery NIS dostêpne dla Linuksa: jeden zawartyw pakiecie yps Tobiasa Rebera i drugi  w pakiecie ypserv Petera Erikssona.Nie graroli, który z nich uruchomisz.Po zainstalowaniu programu serwera (ypserv) w katalogu /usr/sbin, powinieneSstworzyæ katalog, w którym bêd¹ przechowywane pliki map rozpowszechnianeprzez twój serwer.Przy konfigurowaniu domeny NIS dla domeny brewery, mapybêd¹ umieszczone w katalogu /var/yp/brewery.Zanim serwer zdecyduje siê obs³ugi-waæ konkretn¹ domenê, sprawdza, czy istnieje jej katalog map.Je¿eli wy³¹czaszus³ugê dla jakiejS domeny NIS, pamiêtaj o usuniêciu katalogu.Mapy zwykle s¹ przechowywane w plikach DBM, aby przySpieszyæ poszukiwania.Tworzone s¹ na podstawie plików g³Ã³wnych za pomoc¹ programu makedbm (dla ser-wera Tobiasa) lub dbmload (dla serwera Petera).Przekszta³canie pliku g³Ã³wnego do postaci, któr¹ mo¿e zrozumieæ dbmload, zwyklewymaga pewnych magicznych poleceñ awk i sed, które s¹ mêcz¹ce przy wpisywaniui trudne do zapamiêtania.Dlatego pakiet Petera Erikssona, ypserv, zawiera plik Ma-kefile (nazwany ypMakefile), który realizuje tê konwersjê dla wiêkszoSci plikówg³Ã³wnych.PowinieneS zainstalowaæ go pod nazw¹ Makefile w katalogu map i do-konaæ edycji, aby uwzglêdnia³ mapy NIS-a, które chcesz wspó³dzieliæ.Na pocz¹tkupliku znajdziesz celall, który zawiera us³ugi oferowane przez ypserv.DomySlniewiersz wygl¹da tak:all: ethers hosts networks protocols rpc services passwd group netidJe¿eli na przyk³ad nie chcesz generowaæ map ethers.byname i ethers.byaddr, po prostuusuñethersz tej regu³y.Aby przetestowaæ swoj¹ konfiguracjê, mo¿esz zacz¹æ odjednej lub dwóch map, na przyk³ad services.*.Po edycji pliku Makefile, bêd¹c w katalogu map, wpiszmake.Spowoduje to automa-tyczne wygenerowanie i zainstalowanie map.Musisz pamiêtaæ o ich uaktualnianiupo ka¿dej zmianie dokonanej w plikach g³Ã³wnych.W przeciwnym razie zmiany niebêd¹ widoczne w sieci. Bezpieczeñstwo serwera NIS 235Podrozdzia³ Konfigurowanie klienta NIS z GNU libc wyjaSnia, jak skonfigurowaæ kodklienta NIS.Je¿eli twoja konfiguracja nie dzia³a, powinieneS spróbowaæ dowiedzieæsiê, czy twoje zapytania docieraj¹ do serwera.Je¿eli podasz opcjê --debug wwy-wo³aniu polecenia ypserv, wypisze ono na konsoli komunikaty o wszystkich przy-chodz¹cych zapytaniach NIS i zwracanych wynikach.Tam powinieneS znalexæwskazówkê, gdzie le¿y problem.Serwer Tobiasa nie ma tej opcji.Bezpieczeñstwo serwera NISZ punktu widzenia bezpieczeñstwa NIS ma podstawow¹ wadê: plik passwd jest do-stêpny praktycznie dla ka¿dego w ca³ym Internecie, czyli równie¿ dla sporej liczbypotencjalnych intruzów.Kiedy intruz wie, jak nazywa siê twoja domena NIS, i znaadres serwera, mo¿e po prostu wys³aæ zapytanie o mapê passwd.byname i natychmiastuzyska wszystkie has³a z twojego systemu (w postaci zaszyfrowanej).Z pomoc¹szybkiego programu do ³amania hase³, jak crack, i dobrego s³ownika, odgadniêciehase³, przynajmniej kilku u¿ytkowników, nie stanowi problemu.Tu w³aSnie przydaje siê opcja securenets.Na podstawie adresów IP lub numerów sie-ci zezwala na dostêp do twojego serwera NIS tylko pewnym hostom.Ostatnia wer-sja ypserv implementuje tê funkcjê na dwa sposoby.Pierwszy opiera siê na specjaln-ym pliku konfiguracyjnym /etc/ypserv.securenets, a drugi u¿ywa odpowiednich pli-ków /etc/hosts.allow i /etc/hosts.deny, które omówiliSmy w rozdziale 12, Wa¿ne funkcjesieciowe*.Aby wiêc ograniczyæ dostêp do hostów z browaru, administrator sieci po-winien dodaæ poni¿szy wiersz do pliku hosts.allow:ypserv: 172.16.2.Pozwoli to wszystkim hostom o adresach IP 172.16.2.0 na dostêp do serwera NIS.Aby zabroniæ dostêpu wszystkim pozosta³ym hostom, musisz umieSciæ w plikuhosts.deny nastêpuj¹cy wpis:ypserv: ALLNumery IP nie s¹ jedynym sposobem na okreSlenie hostów (lub sieci) w plikuhosts.allow i hosts.deny.Szczegó³y znajdziesz na stronie podrêcznika hosts_access(5)w twoim systemie.Jednak pamiêtaj, ¿e nie mo¿esz u¿ywaæ nazw hosta lub domen wewpisieypserv.Je¿eli podasz nazwê hosta, serwer bêdzie próbowa³ j¹ rozwi¹zaæ,ale resolver z kolej wywo³a ypserv i wejdziesz w nieskoñczon¹ pêtlê.Aby skonfigurowaæ bezpieczeñstwosecurenetsza pomoc¹ metody /etc/ypserv [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • gieldaklubu.keep.pl
  •