você está aqui: Home  → Arquivo de Mensagens

securenets (correção)

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 14 de Agosto de 1997

Desculpem-me, mas na dica de hoje eu cometi um (pequeno) erro. Na sintaxe do arquivo /var/yp/securenets, o endereço da máscara de rede vem primeiro e em seguida vem o endereço da rede.

Tomei a liberdade de enviar a dica novamente para voces, com as devidas correções e acrescentei um pedaço do FAQ do AIX que trata do assunto.

O engano me foi apontado por "Carlos A. F. Brefe" <<brefe (a) bdt org br>>, a quem gostaria de agradecer.

Obrigado a todos,

Rubens


Não é novidade para ninguém que os serviços NIS oferecem sérios perigos à segurança de um sistema. Uma destas razões é que qualquer pessoa na Internet pode puxar qualquer mapa do NIS que desejar.

Um mapa bastante visado é o mapa de usuários (passwd). Mesmo que o seu sistema possua shadow passwords, ou seja, as passwords são gravadas em um arquivo diferente do /etc/passwd, o mapa do NIS combina os dois arquivos, tornando a expor as senhas.

  % cat /etc/passwd | grep queiroz
  queiroz:!:1020:1000:Rubens Queiroz de Almeida:/home/queiroz:/bin/ksh.

Já o comando

  % ypcat passwd|grep queiroz
  queiroz:XzvA/VzEP0yB.:1020:1000:Rubens Queiroz - SUPSOF:/home/queiroz:/bin/ksh

Ou seja, a segurança criada pelas shadow passwords é anulada pelo NIS.

Uma maneira de se reduzir os riscos é especificar quais máquinas podem realizar a transferência dos mapas de NIS. Isto pode ser feito criando-se um arquivo denominado "securenets" e localizado no diretório /var/yp do servidor NIS.

Este arquivo contém linhas do tipo

/var/yp/securenets

  255.255.255.0 200.200.20.0 
  255.255.255.0 200.200.21.0 

Cada linha consiste do endereço de uma máscara de rede (netmask) seguida do endereço da rede.Uma vez criado este arquivo apenas computadores que se enquadrem nestas restrições poderão fazer transmissão de mapas NIS do servidor (master ou slave) em questão.

A seguir anexo uma parte do FAQ do AIX que descreve as securenets e esclarece alguns pontos interessantes tais como maneiras de se identificar de onde partem tentativas de transferência (possivelmente ilegais) de mapas.


  Subject: 1.614: NIS security
  Ole.H.Nielsen@fysik.dtu.dk (Ole Holm Nielsen)
  
  SUMMARY: AIX 3.2.4 and above includes support for a more secure setup
  of the ypserv NIS daemon.  You can prevent any random host on the
  entire Internet from reading your NIS maps, as is possible with the
  default AIX setup.
  
  The details:
  ------------
  After starting the ypserv daemon, I noticed in the syslog the following line:
  Jan 17 12:01:18 zeise syslog: /usr/etc/ypserv: no /var/yp/securenets file
  This indicates that ypserv is looking for the mentioned configuration
  file, but did not find <I>, and hence will deliver the NIS maps to
  anyone on the net who can guess the NIS domainname.  I installed the
  /var/yp/securenets file and restarted ypserv, and <I> works !  Any
  illegal attempt to read NIS maps will result in the following getting
  logged to syslog (example):
  Jan 18 13:37:27 zeise syslog: ypserv: access denied for 129.142.6.79
  
  How to enable this NIS security option:
  Install the /var/yp/securenets file, for example:
  
  # /var/yp/securenets file
  #
  # The format of this file is one of more lines of
  # netmask netaddr
  # Both netmask and netaddr must be dotted quads.
  #
  # Note that for a machine with two Ethernet interfaces (i.e. a gateway
  # machine), the IP addresses of both have to be in /var/yp/securenets.
  #
  # for example:
  #255.255.255.0 128.185.124.00
  # Loopback interface
  255.255.255.255 127.0.0.1
  
  Uncommenting the last line would limit access to hosts on the
  128.185.124.*  net, only.  The loopback interface must be included, as
  shown above.
  
  To log violations, have a /etc/syslog.conf file containing the proper
  events.  We use this line:
  
  *.err;kern.debug;auth.notice;user.none          /var/adm/messages
  
  Caveat emptor:  This works for us, and you will have to verify <I> at
  your own installation.  Don't complain to us if you have troubles.
  I do not know what PTF level our AIX 3.2.4 is at.  Our ypserv daemon
  looks like this:
  
  zeise> strings /usr/lib/netsvc/yp/ypserv | head -2
  @(#)16
  1.12  com/cmd/usr.etc/yp/ypserv.c, cmdnfs, nfs325, 9334325a 5/4/93 19:44:41
  
  If your AIX doesn't have securenets support, ask your support centre
  for the PTF which includes APAR IX32328.  That seems to have included
  the securenets support.


Veja a relação completa dos artigos de Rubens Queiroz de Almeida

 

 

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script