Kirch O. Dawson T. Linux Podręcznik Administratora Sieci

[ Pobierz całość w formacie PDF ]
.W tradycyjnych implementacjach NIS-a obowi�zywa�y pewne ustalenia co do tego,kiedy mapy by�y zast�powane innymi, a kiedy dodawane do oryginalnych informacji.Niektóre mapy, takie jak passwd, wymaga�y modyfikacji pliku passwd.Je�eli zosta�a onawykonana niepoprawnie, tworzy�y si� dziury w bezpiecze�stwie.Aby unikn�� tychpu�apek, NYS i GNU libc wykorzystuj� ogólny schemat konfiguracji okreSlaj�cy, czydany zestaw funkcji klienta u�ywa oryginalnych plików, plików NIS czy NIS+i wja-kiej kolejnoSci.Ten schemat b�dzie opisany w dalszej cz�Sci tego rozdzia�u.234 Rozdzia� 13: System informacji sieciowejEksploatowanie serwera NISDoS� ju� tej teoretycznej paplaniny.Czas przyjrze� si�, jak dzia�a rzeczywista kon-figuracja.W tym podrozdziale omówimy konfiguracj� serwera NIS.Je�eli serwerNIS ju� dzia�a w twojej sieci, nie musisz tworzy� w�asnego i mo�esz bez szkody dlasiebie pomin�� ten podrozdzia�.Pami�taj, �e je�eli zamierzasz eksperymentowa� z serwerem, musisz uwa�a�, by niezdublowa� nazwy domeny NIS.Mog�oby dojS� do awarii us�ugi w ca�ej sieci.Niemówi�c ju� o zdenerwowaniu wspó�u�ytkowników.Istniej� dwie mo�liwe konfiguracje serwera NIS: jako serwera g�ównego i jako podrz�d-nego.Konfiguracja serwera podrz�dnego daje dzia�aj�cy komputer zapasowy na wypa-dek, gdyby serwer g�ówny uleg� awarii.Omówimy tutaj jedynie konfiguracj� serwerag�ównego.Dokumentacja serwera wyjaSnia ró�nice mi�dzy tymi dwoma konfiguracja-mi, a wi�c zajrzyj do niej, gdybyS musia� skonfigurowa� serwer podrz�dny.Obecnie istniej� dwa darmowe serwery NIS dost�pne dla Linuksa: jeden zawartyw pakiecie yps Tobiasa Rebera i drugi w pakiecie ypserv Petera Erikssona.Nie graroli, który z nich uruchomisz.Po zainstalowaniu programu serwera (ypserv) w katalogu /usr/sbin, powinieneSstworzy� katalog, w którym b�d� przechowywane pliki map rozpowszechnianeprzez twój serwer.Przy konfigurowaniu domeny NIS dla domeny brewery, mapyb�d� umieszczone w katalogu /var/yp/brewery.Zanim serwer zdecyduje si� obs�ugi-wa� konkretn� domen�, sprawdza, czy istnieje jej katalog map.Je�eli wy��czaszus�ug� dla jakiejS domeny NIS, pami�taj o usuni�ciu katalogu.Mapy zwykle s� przechowywane w plikach DBM, aby przySpieszy� poszukiwania.Tworzone s� na podstawie plików g�ównych za pomoc� programu makedbm (dla ser-wera Tobiasa) lub dbmload (dla serwera Petera).Przekszta�canie pliku g�ównego do postaci, któr� mo�e zrozumie� dbmload, zwyklewymaga pewnych magicznych polece� awk i sed, które s� m�cz�ce przy wpisywaniui trudne do zapami�tania.Dlatego pakiet Petera Erikssona, ypserv, zawiera plik Ma-kefile (nazwany ypMakefile), który realizuje t� konwersj� dla wi�kszoSci plikówg�ównych.PowinieneS zainstalowa� go pod nazw� Makefile w katalogu map i do-kona� edycji, aby uwzgl�dnia� mapy NIS-a, które chcesz wspó�dzieli�.Na pocz�tkupliku znajdziesz celall, który zawiera us�ugi oferowane przez ypserv.DomySlniewiersz wygl�da tak:all: ethers hosts networks protocols rpc services passwd group netidJe�eli na przyk�ad nie chcesz generowa� map ethers.byname i ethers.byaddr, po prostuusu�ethersz tej regu�y.Aby przetestowa� swoj� konfiguracj�, mo�esz zacz�� odjednej lub dwóch map, na przyk�ad services.*.Po edycji pliku Makefile, b�d�c w katalogu map, wpiszmake.Spowoduje to automa-tyczne wygenerowanie i zainstalowanie map.Musisz pami�ta� o ich uaktualnianiupo ka�dej zmianie dokonanej w plikach g�ównych.W przeciwnym razie zmiany nieb�d� widoczne w sieci.Bezpiecze�stwo serwera NIS 235Podrozdzia� Konfigurowanie klienta NIS z GNU libc wyjaSnia, jak skonfigurowa� kodklienta NIS.Je�eli twoja konfiguracja nie dzia�a, powinieneS spróbowa� dowiedzie�si�, czy twoje zapytania docieraj� do serwera.Je�eli podasz opcj� --debug wwy-wo�aniu polecenia ypserv, wypisze ono na konsoli komunikaty o wszystkich przy-chodz�cych zapytaniach NIS i zwracanych wynikach.Tam powinieneS znalex�wskazówk�, gdzie le�y problem.Serwer Tobiasa nie ma tej opcji.Bezpiecze�stwo serwera NISZ punktu widzenia bezpiecze�stwa NIS ma podstawow� wad�: plik passwd jest do-st�pny praktycznie dla ka�dego w ca�ym Internecie, czyli równie� dla sporej liczbypotencjalnych intruzów.Kiedy intruz wie, jak nazywa si� twoja domena NIS, i znaadres serwera, mo�e po prostu wys�a� zapytanie o map� passwd.byname i natychmiastuzyska wszystkie has�a z twojego systemu (w postaci zaszyfrowanej).Z pomoc�szybkiego programu do �amania hase�, jak crack, i dobrego s�ownika, odgadni�ciehase�, przynajmniej kilku u�ytkowników, nie stanowi problemu.Tu w�aSnie przydaje si� opcja securenets.Na podstawie adresów IP lub numerów sie-ci zezwala na dost�p do twojego serwera NIS tylko pewnym hostom.Ostatnia wer-sja ypserv implementuje t� funkcj� na dwa sposoby.Pierwszy opiera si� na specjaln-ym pliku konfiguracyjnym /etc/ypserv.securenets, a drugi u�ywa odpowiednich pli-ków /etc/hosts.allow i /etc/hosts.deny, które omówiliSmy w rozdziale 12, Wa�ne funkcjesieciowe*.Aby wi�c ograniczy� dost�p do hostów z browaru, administrator sieci po-winien doda� poni�szy wiersz do pliku hosts.allow:ypserv: 172.16.2.Pozwoli to wszystkim hostom o adresach IP 172.16.2.0 na dost�p do serwera NIS.Aby zabroni� dost�pu wszystkim pozosta�ym hostom, musisz umieSci� w plikuhosts.deny nast�puj�cy wpis:ypserv: ALLNumery IP nie s� jedynym sposobem na okreSlenie hostów (lub sieci) w plikuhosts.allow i hosts.deny.Szczegó�y znajdziesz na stronie podr�cznika hosts_access(5)w twoim systemie.Jednak pami�taj, �e nie mo�esz u�ywa� nazw hosta lub domen wewpisieypserv.Je�eli podasz nazw� hosta, serwer b�dzie próbowa� j� rozwi�za�,ale resolver z kolej wywo�a ypserv i wejdziesz w niesko�czon� p�tl�.Aby skonfigurowa� bezpiecze�stwosecurenetsza pomoc� metody /etc/ypserv [ Pobierz całość w formacie PDF ]

Odnośniki