NIS & firewall: ypbind kan domain niet vinden... - Linux en overige clients

dinsdag 17 december 2002 17:07

Acties:

kan denken als een computer

Topicstarter

Ik ben sinds gistermiddag bezig met het opzetten van een NIS server, met bijbehorende NIS clients.

Situatie:
- Debian GNU/Linux 3.0 server en clients
- Shorewall firewall

Op de server draaien veel daemons, waaronder NIS, en een iptables-based firewall, genaamd Shorewall.

Problemen:
Zolang de firewall aan staat, werkt NIS niet.
De firewall staat zo geconfigureerd, dat er binnen het netwerk 'onbeperkt' verkeer mogelijk is. Ondanks dat, kunnen de NIS clients niet met de server verbinding maken.
Zolang de firewall uitstaat, dan werkt alles perfect... maar zonder firewall, met zoveel services aan in niet zo fijn voor je veiligheidsgevoel

Wat ook werkt:
1) firewall uit
2) nis service op client opstarten
3) firewall aan
Daarna kun je gewoon inloggen, etc via NIS.
Dit werkt tijdelijke, totdat na een tijdje ypbind op de client de server zoekt, dan kan ie m niet vinden omdat de firewall aanstaat.
In praktijk is dit geen oplossing, want dan zou iedere keer als iemand de computer aanzet, de firewall uit moeten...

Verder:
Op een aantal sites en in een aantal Usenet berichten stond dat je never nooit NIS moet draaien op dezelfde server als waar je firewall op draait, ivm niet verder gedefinieerde 'security flaws'....
Ik vind het eerlijk gezegd overdreven om voor een zeer klein netwerkje bestaande uit 4 computers en een Linux server die standaard uit z'n neus staat te vreten _nog_ een Linux bak op te zetten, puur voor Authenticatie....

Waarom gebruik ik geen LDAP?
Ik vind LDAP een beetje overkill voor 5 users.

Al gedaan:
Google (de hele nacht), Usenet search, FAQs, Howto's, GoT search, etc.
Een topic op GoT posten is meestal een laatste redmiddel (Daarom heb ik ook zo weinig posts

)

offtopic:
Wie weet hoe ik text uit een xterm copy/paste in Mozilla?

Dan kan ik meer info geven.

dinsdag 17 december 2002 17:16

Acties:

Verwijderd

offtopic:
tekst selecteren en pasten met middelste muisknop (of links rechts tegelijk)

dinsdag 17 december 2002 17:32

Acties:

terabyte

kan denken als een computer

Topicstarter

Verwijderd schreef op 17 December 2002 @ 17:16:

offtopic:
tekst selecteren en pasten met middelste muisknop (of links rechts tegelijk)

offtopic:
Thanks

Meer info:

Server

code:

P1:~# rpcinfo -p localhost
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100004    2   udp    738  ypserv
    100004    1   udp    738  ypserv
    100004    2   tcp    741  ypserv
    100004    1   tcp    741  ypserv
    100009    1   udp    743  yppasswdd
 600100069    1   udp    742
 600100069    1   tcp    745
    100007    2   udp    751  ypbind
    100007    1   udp    751  ypbind
    100007    2   tcp    754  ypbind
    100007    1   tcp    754  ypbind

code:

P1:~# cat /etc/nsswitch.conf 
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat
group:          compat
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

code:

P1:~# cat /etc/ypserv.conf 
#
# ypserv.conf   In this file you can set certain options for the NIS server,
#               and you can deny or restrict access to certain maps based
#               on the originating host.
#
#               See ypserv.conf(5) for a description of the syntax.
#

# This is the default - restrict access to the shadow password file,
# allow access to all others.
*                            : shadow.byname    : port
*                            : passwd.adjunct.byname : port
*                            : *                : none

code:

P1:~# cat /etc/ypserv.securenets 
#
# securenets    This file defines the access rights to your NIS server
#               for NIS clients (and slave servers - ypxfrd uses this
#               file too). This file contains netmask/network pairs.
#               A clients IP address needs to match with at least one
#               of those.
#
#               One can use the word "host" instead of a netmask of
#               255.255.255.255. Only IP addresses are allowed in this
#               file, not hostnames.
#
# Always allow access for localhost
255.0.0.0       127.0.0.0

# This line gives access to everybody. PLEASE ADJUST!
0.0.0.0         0.0.0.0

#255.255.255.0  192.168.1.0

Wanneer ik in ypserv.securenet de lijn 255.255.255.0 192.168.1.0 uncomment, dan doet ie het helemaal niet, ook al lijkt me dat veiliger

Client

code:

P5:~# cat /etc/yp.conf 
#
# yp.conf       Configuration file for the ypbind process. You can define
#               NIS servers manually here if they can't be found by
#               broadcasting on the local net (which is the default).
#
#               See the manual page of ypbind for the syntax of this file.
#
# IMPORTANT:    For the "ypserver", use IP addresses, or make sure that
#               the host is in /etc/hosts. This file is only interpreted
#               once, and if DNS isn't reachable yet the ypserver cannot
#               be resolved and ypbind won't ever bind to the server.

# ypserver ypserver.network.com

domain HOMENET P1 192.168.1.1

code:

P5:~# tail /var/log/syslog
Dec 17 17:23:55 P5 ypbind[188]: broadcast: RPC: Timed out.
Dec 17 17:24:49 P5 ypbind[191]: broadcast: RPC: Timed out.
Dec 17 17:26:03 P5 ypbind[191]: broadcast: RPC: Timed out.
Dec 17 17:27:17 P5 ypbind[191]: broadcast: RPC: Timed out.
Dec 17 17:28:31 P5 ypbind[191]: broadcast: RPC: Timed out.
Dec 17 17:29:45 P5 ypbind[191]: broadcast: RPC: Timed out.
Dec 17 17:30:55 P5 ypbind[188]: broadcast: RPC: Timed out.

[ Voor 3% gewijzigd door terabyte op 17-12-2002 17:32 ]

dinsdag 17 december 2002 17:43

Acties:

Verwijderd

Bij NIS is het zo dat als je toegang hebt tot de server en de NIS domein naam raadt je alle informatie die de server heeft kunt opvragen. Dus ook je shared password file inclusief encrypted passwords. Je moet dus zowiezo opletten dat je de NIS server wel goed van internet afschermt. Bij sommige NIS servers kun je aangeven in je configuratie file wat je securenets zijn en alleen hosts die in dat subnet vallen mogen data van je NIS server opvragen. Dat maakt het al iets veiliger.

Tja over je firewall die blijkbaar je NIS aanvragen blokt. Je zal toch echt je firewall script moeten posten. Alvast de opmerking dat NIS UDP gebaseerd is en gebruik maakt van RPC (in geval van Sun RPC poort 111 TCP/UDP).

[ Voor 4% gewijzigd door Verwijderd op 17-12-2002 17:54 ]

dinsdag 17 december 2002 18:17

Acties:

terabyte

kan denken als een computer

Topicstarter

Het werkt!
(alleen TCP 111 stond open

)

Hoe kan ik er nu zeker van zijn dat m'n NIS passwd files niet van buitenaf gelezen kan worden?
(Zoals ik in een vorige post heb geschreven: in ypserv.securenets kan ik alleen 0.0.0.0 0.0.0.0 gebruiken, en niet een veiligere, zoals 255.255.255.0 192.168.1.0).
En de NIS server (tenminste, de versie die ik gebruik) kent blijkbaar geen optie om op 1 bepaalde interface (zoals eth1) te luisteren.

dinsdag 17 december 2002 18:28

Acties:

Verwijderd

Zodra je securenets aanpast dan krijg je geen verbinding meer? Ik neem aan dat 192.168.1.0 wel je lokale subnet is? Je hebt wel de NIS server en RPC service opnieuw gestart?

Verder kun je zowiezo in je iptables script alleen de poorten open zetten die echt open moeten staan vanaf internet. Gebruik dan wel een default DROP policy. Vergeet niet UDP verkeer te droppen.

[ Voor 9% gewijzigd door Verwijderd op 17-12-2002 18:29 ]