Toon posts:

[nfs] Is het nou zo onveilig of is dat een feature?

Pagina: 1
Acties:
  • 160 views sinds 30-01-2008
  • Reageer

vrijdag 7 februari 2003 22:25

Acties:
  • Steven
  • Registratie: December 2000
  • Laatst online: 08-05 23:25

Steven

Topicstarter
Matched: nfs
Hoi,

Ik ben me even aan het verdiepen in nfs aangezien ik tegenwoordig twee linux PC's in huis heb staan en na wat gesynchroniseer van usernames werkt dat wel lekker. Maar wat mij betreft iets te lekker.

Want wat ik er zo van begrijp is het geen enkele kunst om via nfs bij de bestanden van een andere gebruiker te komen op het moment dat je zelf beheerder bent van een linuxbak die toegang heeft tot de server: Uit de NFS-FAQ:
An example: bob on the server maps to the UserID 9999. Bob makes a file on the server that is only accessible the user (the equivalent to typing chmod 600 filename). A client is allowed to mount the drive where the file is stored. On the client mary maps to UserID 9999. This means that the client user mary can access bob's file that is marked as only accessible by him. It gets worse: If someone has become superuser on the client machine they can su - username and become any user. NFS will be none the wiser.
En het staat daar inderdaad letterlijk... Maar met al mijn vertrouwen in linux kan ik me maar niet voorstellen dat er dus eigenlijk geen een normale manier is om bestanden transparant uit te wisselen. (FTPmount is niet zaligmakend en om nou Samba te gebruiken om twee linux-werkstations gegevens uit te wisselen gaat een beetje tegen wat principes is). NFS is toch het enige serieuse programma om bestanden in linux uit te wisselen...

Dus, redeneer ik ergens verkeerd in bovenstaande verhaaltje of moet ik gewoon niet zeuren en alles met hostname-beperkingen dicht gooien?

vrijdag 7 februari 2003 22:31

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 02:00

_JGC_

Matched: nfs
Het is nou eenmaal niet anders. In je exports moet je sowieso al opgeven wie er wel en niet mag connecten en je kunt ook nog de tcpwrappers gebruiken om access te ontzeggen aan hosts.

Op school gebruiken we ook NFS mounts om servers synchroom te houden. Feit is wel dat behalve klasgenoot en ik er geen enkele student is die het root password weet of superuser kan worden, dus is prutsen aan andermans bestanden gewoon niet mogelijk.

vrijdag 7 februari 2003 22:49

Acties:
  • Steven
  • Registratie: December 2000
  • Laatst online: 08-05 23:25

Steven

Topicstarter
Geen matches
Maar als je een laptop mee zou nemen en een beetje met UID's gaat kloten is prutsen aan andere bestanden een eitje lijkt me...

vrijdag 7 februari 2003 23:06

Acties:

Verwijderd

Matched: nfs
Maar het is toch raar gezien de manier waar linux/unix verder is beveiligd dat je als je een andere bak NFS toegang geeft je de root van die bak meteen root permissies tot al jouw bestanden geeft.
Of snap ik nu iets verkeerd?

vrijdag 7 februari 2003 23:20

Acties:
  • MyDyingBride
  • Registratie: November 2001
  • Laatst online: 19-04 20:18

MyDyingBride

Geen matches
Normaal gesproken wordt root gemapt naar een andere user (nobody oid).
Als je dus root rechten hebt kan je nog niet automagisch overal bij, tenzij je no_root_squash (uit m'n hoofd) in je exports file zet.

vrijdag 7 februari 2003 23:25

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 06-05 18:51

Creepy

Tactical Espionage Splatterer

Matched: nfs
Verwijderd schreef op 07 February 2003 @ 23:06:
Maar het is toch raar gezien de manier waar linux/unix verder is beveiligd dat je als je een andere bak NFS toegang geeft je de root van die bak meteen root permissies tot al jouw bestanden geeft.
Of snap ik nu iets verkeerd?
Ja ;)

Identificatie gaat op basis van een userid. Als je vanaf machine1 naar machine2 m.b.v. nfs een connectie maakt gelt het userid van machine1 ook voor machine2. Als je op machine1 wat gaat rommelen met userid's kan het voorkomen dat je een userid uitkiest wat ook op machine2 voorkomt. Met als resultaat dat je dezelfde rechten hebt als die gebruiker op machine2.

De optie om via NFS root rechten te krijgen is gelukkig uit te zetten (squash root). Voor de rest alleen trusted machine toestaan, en zo weinig mogelijk via NFS beschikbaar stellen (en dus zeker niet je / ofzo).

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

zaterdag 8 februari 2003 00:19

Acties:

Verwijderd

Matched: filesystem, nfs
zoek anders ook eens naar coda:
stukje uit de kernel help in network filesystems:
Coda is an advanced network file system, similar to NFS in that it
enables you to mount file systems of a remote server and access them
with regular Unix commands as if they were sitting on your hard
disk. Coda has several advantages over NFS: support for
disconnected operation (e.g. for laptops), read/write server
replication, security model for authentication and encryption,
persistent client caches and write back caching.

zaterdag 8 februari 2003 12:29

Acties:

Verwijderd

Geen matches
en je hebt natuurlijk ook nog dingen zoals DAV en CVS. (worden beide onder windows ondersteund...)

zaterdag 8 februari 2003 14:28

Acties:

Verwijderd

Matched: nfs
als je niet constant files hoeft te accessen op beide computers, maar alleen regelmatig bijvoorbeeld files wilt backuppen van de ene op de andere kun je rsync ook gebruiken. Werkt fraai. Ik gebruikte eerst NFS voor dat soort doelen, maar nu dus rsync.

zaterdag 8 februari 2003 15:15

Acties:

Verwijderd

Matched: nfs
Om te beginnen is de Linux NFS implementatie brak. Sowieso, wanneer 1 van de bakken crashed gaat NFS gek doen. Het is erg gevoellig voor firewalling, zo kun je bijv geen packet normalization doen. Secure NFS implementaties:

Self-certifying File System
NFS over SSH
NFS is toch het enige serieuse programma om bestanden in linux uit te wisselen...
Hmm. Niet mee eens. Er zijn er een boel. Ik zal er een paar posten. Sommige heb je zelf al genoemd. Ik heb het nu dus niet over andere features, security, bloated, etcetera:

OpenAFS (AFS) of Arla (AFS)
CIFS/Samba (SMB)
Inter-Mezzo
Coda
CVSFS, FTPFS, SSHFS (laatste is een onderdeel van LUFS maar da's weer alleen voor Linux dus voor mij persoonlijk geen oplossing want de bak waarmee ik wil mounten draait geen Linux). DAVFS.

Welke het beste voor jou is, mja weet ik niet..

Misschien is farsync of AvFS of NNFS nuttig voor je.

zondag 9 februari 2003 00:08

Acties:

Verwijderd

Geen matches
en je moet je YP domain name ook niet gelijk trekken met je DNS domain name...als het goed is kent niemand je YP domain dan.

zondag 9 februari 2003 18:21

Acties:
  • Steven
  • Registratie: December 2000
  • Laatst online: 08-05 23:25

Steven

Topicstarter
Geen matches
YP... YP... YP...

ehh? kan je dat eten?

zondag 9 februari 2003 20:07

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

Geen matches
Steven schreef op 09 February 2003 @ 18:21:
YP... YP... YP...

ehh? kan je dat eten?
Yellow Pages oftewel NIS (geloof dat het veranderd moest worden na een klacht over de naam "Yellow Pages" oid :?)

iig is het een manier om de authorisatie en de userid's/groupid's te centraliseren. Maar je kunt beter ldap gebruiken omdat NIS met cleartext passwords werkt (NIS+ niet trouwens) :)

Eeuwige n00b

zondag 9 februari 2003 20:25

Acties:

Verwijderd

Geen matches
idd YP==NIS
als je "ypcat shadow.byname" doet als root op een YP client....dan zie je dus de (hopelijk MD5 encrypted) shadow file.....
Pagina: 1
Reageer