Die Serverdienste NFS und NIS

Seite: 5/8
(3022 Worte insgesamt im Text)
(17162 mal aufgerufen)  

NIS absichern

Auch für NIS wollen wir nun eine kleine Checkliste aufstellen, um einen NIS-Server zumindest ein wenig abzusichern:

1. Auch hier gilt: verwenden Sie immer die aktuellste Version! Ebenso wie bei NFS sind recht schnell Updates zur Hand, wenn ein neuer Bug gefunden wurde.
2. überprüfen Sie die Struktur ihrer NIS-Domain. Sie sollten versuchen, immer einen einzigen NIS-Server für ein Netzwerk zu haben. Wenn sie z.B. einen Server für zwei Domains haben, dann sollten Sie für jede Domain einen eigenen Server aufsetzen. Ansonsten kann es leicht passieren, dass ein Nutzer aus der einen Domain die Daten der anderen Domain anfordert und so an ihre gesammten NIS-Maps kommt.
3. Als nächstes sollten Sie überprüfen, ob Sie die NIS Maps von der lokalen Passwortverwaltung des Servers trennen können. Das erschwert einem Angreifer, der die Maps "geknackt" hat das Kompromittieren des Systems. Besonders die "root"- und "System"-Passwörter sollten nicht in den Maps auftauchen! Das können Sie im Makefile einstellen, welches sich im allgemeinen im Verzeichnis /var/yp befindet.
   
   Alles ab der UID 500 und der GID 100 sollte in Ordnung gehen. Für alle anderen Werte gilt: nicht in die Map-Datenbank! Suchen Sie im Makefile zusätzlich nach dem Wert für YP_SECURE - ist diese Variable vorhanden und entsprechend gesetzt, beantwortet der Server nur Anfragen eines Clients auf einem priviligiertem Port.
4. überprüfen Sie regelmäßig mit einem Tool wie z.B. "john" die Passwörter der Benutzer: sind sie leicht zu knacken? Wenn das so ist, kann ein Angreifer leicht das Paswort eines Benutzers knacken und sich so auf ihrem System austoben. (Das gilt natürlich nicht nur für NIS.)
5. überprüfen Sie ihr System auf "Null"-Passwörter, also Accounts, die ohne Passwort genutzt werden können.
6. überprüfen Sie die Einstellungen ihrer Clients! In mancher Konfiguration kann sich der Nutzer "+" (s.o.) auf einem Client ohne Passwort einloggen! Dazu setzen Sie bitte in der Datei /etc/passwd oder besser (falls vorhanden) /etc/shadow an die zweite Stelle ein "*", was dem Benutzer "+" ein einloggen nicht mehr erlaubt. Die Zeile für die Einrichtung von NIS-Accounts müßte korrekt also so aussehen: "+:*:0:0:::"
7. überprüfen Sie die Datei "securenets" auf ihrem Server. Diese befindet sich üblicherweise im Verzeichnis /var/yp und enthält diejenigen Netzwerke, denen der Server seine Maps zur Verfügung stellt.

vorher (4/8)    Weiter (6/8)

[ zurück zu Serverprogramme | Index ]