Im Katalog suchen

Linux - Wegweiser für Netzwerker

Online-Version

Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG

Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.

Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.
vorheriges Kapitel Inhaltsverzeichnis Stichwortverzeichnis nächstes Kapitel


Sicherheit von NIS-Servern

NIS hatte eine große Sicherheitslücke: Beinahe jeder im gesamten Internet konnte Ihre Paßwortdatei lesen, was für eine beträchtliche Anzahl möglicher Eindringlinge sorgte. Wenn ein Eindringling Ihren NIS-Domainnamen und die Adresse Ihres Servers kannte, konnte er einfach eine Anforderung an die passwd.byname-Map schicken und erhielt die gesamten verschlüsselten Paßwörter Ihres Systems. Ausgestattet mit einem schnellen Paßwort-Knackprogramm wie crack und mit einem guten Wörterbuch, ist es kaum ein Problem, die Paßwörter von zumindest einigen Benutzern zu knacken.

Aus diesem Grund wurde die Option securenets eingeführt. Sie beschränkt den Zugriff auf Ihren NIS-Server anhand der IP-Adresse oder der Netzwerknummer auf bestimmte Hosts. Die neueste Version von ypserv implementiert diese Eigenschaft auf zweierlei Weise. Die erste basiert auf einer speziellen Konfigurationsdatei namens /etc/ypserv.securenets, die zweite verwendet die Dateien /etc/hosts.allow und /etc/hosts.deny, denen wir ja bereits in Kapitel 12 Wichtige Netzwerk-Features, begegnet sind.1 Um den Zugriff beispielsweise auf die Hosts innerhalb der Brauerei zu beschränken, würden deren Netzwerkmanager die folgende Zeile in hosts.allow aufnehmen: 

ypserv: 172.16.2.

So können alle Hosts vom IP-Netzwerk 172.16.2.0 auf den NIS-Server zugreifen. Um alle anderen Hosts auszuschließen, müßte folgender Eintrag in hosts.deny aufgenommen werden: 

ypserv: ALL

IP-Nummern sind nicht der einzige Weg, Hosts oder Netzwerke in hosts.allow und hosts.deny anzugeben. Details entnehmen Sie bitte der hosts_access(5)-Manpage Ihres Systems. Aber Vorsicht: Host- oder Domainnamen können bei ypserv-Einträgen nicht verwendet werden. Wenn Sie einen Hostnamen angeben, versucht der Server ihn aufzulösen — aber der Resolver ruft wiederum ypserv auf, und Sie enden in einer Endlosschleife.

Zur Konfiguration des securenets-Sicherheitsmechanismus mit der /etc/ypserv.securenets-Methode müssen Sie die Konfigurationsdatei /etc/ypserv.securenets erzeugen. Die Struktur dieser Datei ist recht einfach. Jede Zeile beschreibt einen Host oder ein Netzwerk aus Hosts, der bzw. das Zugriff auf den Server erhält. Jeder Adresse, die nicht in irgendeiner Zeile in dieser Datei angegeben ist, wird der Zugriff verweigert. Zeilen, die mit einem # beginnen, werden als Kommentare aufgefaßt. Beispiel Tabelle 13.1 zeigt, wie eine einfache /etc/ypserv.securenets-Datei aussehen könnte:

Beispiel 13.1: Beispieldatei ypserv.securenets 

# Verbindungen zum lokalen Host gestatten -- notwendig host 127.0.0.1 # dasselbe wie 255.255.255.255 127.0.0.1 # # Verbindungen von beliebigen Hosts im virtuellen Brauerei-Netz gestatten 255.255.255.0   172.16.1.0 #

Der erste Eintrag jeder Zeile ist die Netzmaske, die für den Eintrag verwendet werden soll. host ist ein spezielles Schlüsselwort und bedeutet “netmask 255.255.255.255”. Der zweite Eintrag jeder Zeile ist die IP-Adresse, auf die die Netzmaske angewendet wird.

Als dritte Option können Sie auch den sicheren Portmapper anstelle der Option securenets in ypserv verwenden. Der sichere Portmapper (portmap-5.0) verwendet ebenfalls das Schema mit hosts.allow, bietet dieses aber für alle RPC-Server an, nicht nur für ypserv.2 Aufgrund des Verwaltungsaufwands, den diese Authentifizierung mit sich bringt, sollten Sie die Option securenets und den sicheren Portmapper nicht gleichzeitig verwenden.



1.

Um die /etc/hosts.allow-Methode zu aktivieren, müssen Sie unter Umständen den Server neu kompilieren. Bitte lesen Sie die entsprechenden Anweisungen in der der Distribution beiliegenden README-Datei.

2.

Der sichere Portmapper kann per anonymous FTP von ftp.win.tue.nl unterhalb des Verzeichnisses /pub/security/ bezogen werden.

vorheriges Kapitel Inhaltsverzeichnis Stichwortverzeichnis nächstes Kapitel

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center

O'Reilly Home|O'Reilly-Partnerbuchhandlungen|Bestellinformationen
Kontakt|Über O'Reilly|Datenschutz

© 2001, O'Reilly Verlag