Die Serverdienste NFS und NIS

Seite: 4/8
(3022 Worte insgesamt im Text)
(15304 mal aufgerufen)  Druckerfreundliche Ansicht

NFS absichern

Im Folgenden wollen wir nun versuchen, eine "Checkliste" zu erstellen, die den NFS-Server zumindest ein wenig sicherer macht:

  1. Verwenden Sie die aktuellste Version von NFS mit allen Patches. Im Internet werden immer wieder Exploids veröffentlicht. Zum Glück ist Sun sehr schnell dabei, die Lücken in den Programmen zu schließen.
  2. überprüfen Sie die Konfigurationsdatei. Sind alle Einträge von exportierten Verzeichnissen und erlaubten Rechner aktuell?
  3. überprüfen Sie die Zugriffsrechte auf freigegebene Verzeichnisse. Auch diese finden Sie in der exports-Datei. Sie sollten immer ein paar Rechte für ein exportiertes Verzeichnis gesetzt haben. Ist das nicht der Fall, ist dieses Verzeichnis für alle freigegeben - überall! Sie sollten sich also rechtzeitig Gedanken darüber machen, ob Sie ein Verzeichnis z.B. nur einem bestimmten Rechner (bitte mit vollem Rechnernamen, also z.B. rechner1.irgendwo.net), oder vielleicht einer bestimmten Gruppe von Nutzern (diese können Sie in der Datei /etc/netgroups definieren) freigeben - oder es nur read only exportieren. Das dürfte Hackern, die aus irgend einem Grund Zugriff auf ihren NFS-Server erlangt haben, das weitere Vorgehen zumindest erschweren. Noch ein abschließendes Wort zum Server selbst: bitte beachten Sie, dass der Server sich selbst nicht ein Verzeichnis freigibt - weder mit seinem Rechnernamen noch als localhost.
  4. Der nächste Schritt ist das Beachten der 256-Zeichen Grenze in der exports-Datei. Prüfen Sie zusätzlich mit "showmount -e", was genau vom Server exportiert wird. Noch einmal: gehen Sie auf Nummer sicher, dass der Server auch nur genau das mit den passenden Rechten exportiert, was Sie wirklich haben wollen!
  5. überprüfen Sie die Dateirechte der Dateien exports und netgroups. Beide Dateien sollten die Rechte 644 haben und im Besitz des Nutzers "root" und der Gruppe "root" oder der Gruppe "sys" sein.
  6. überprüfen Sie regelmäßg (z.B. mit dem Programm "netstat"), ob der NFS-Server auf einem priviligierten Port läuft.



Kommentare

Einen Kommentar hinzufügen



 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

Hey Sie, Ihr Rechner prompted Sie an...

-- anonymous