Linux Administracja

[ Pobierz całość w formacie PDF ]
.Przekszta�canie pliku g�ównego do postaci, któr� mo�e zrozumie� dbmload, zwyklewymaga pewnych magicznych polece� awk i sed, które s� m�cz�ce przy wpisywaniui trudne do zapami�tania.Dlatego pakiet Petera Erikssona, ypserv, zawiera plik Ma-kefile (nazwany ypMakefile), który realizuje t� konwersj� dla wi�kszoSci plikówg�ównych.PowinieneS zainstalowa� go pod nazw� Makefile w katalogu map i do-kona� edycji, aby uwzgl�dnia� mapy NIS-a, które chcesz wspó�dzieli�.Na pocz�tkupliku znajdziesz celall, który zawiera us�ugi oferowane przez ypserv.DomySlniewiersz wygl�da tak:all: ethers hosts networks protocols rpc services passwd group netidJe�eli na przyk�ad nie chcesz generowa� map ethers.byname i ethers.byaddr, po prostuusu�ethersz tej regu�y.Aby przetestowa� swoj� konfiguracj�, mo�esz zacz�� odjednej lub dwóch map, na przyk�ad services.*.Po edycji pliku Makefile, b�d�c w katalogu map, wpiszmake.Spowoduje to automa-tyczne wygenerowanie i zainstalowanie map.Musisz pami�ta� o ich uaktualnianiupo ka�dej zmianie dokonanej w plikach g�ównych.W przeciwnym razie zmiany nieb�d� widoczne w sieci.Bezpiecze�stwo serwera NIS 235Podrozdzia� Konfigurowanie klienta NIS z GNU libc wyjaSnia, jak skonfigurowa� kodklienta NIS.Je�eli twoja konfiguracja nie dzia�a, powinieneS spróbowa� dowiedzie�si�, czy twoje zapytania docieraj� do serwera.Je�eli podasz opcj� --debug wwy-wo�aniu polecenia ypserv, wypisze ono na konsoli komunikaty o wszystkich przy-chodz�cych zapytaniach NIS i zwracanych wynikach.Tam powinieneS znalex�wskazówk�, gdzie le�y problem.Serwer Tobiasa nie ma tej opcji.Bezpiecze�stwo serwera NISZ punktu widzenia bezpiecze�stwa NIS ma podstawow� wad�: plik passwd jest do-st�pny praktycznie dla ka�dego w ca�ym Internecie, czyli równie� dla sporej liczbypotencjalnych intruzów.Kiedy intruz wie, jak nazywa si� twoja domena NIS, i znaadres serwera, mo�e po prostu wys�a� zapytanie o map� passwd.byname i natychmiastuzyska wszystkie has�a z twojego systemu (w postaci zaszyfrowanej).Z pomoc�szybkiego programu do �amania hase�, jak crack, i dobrego s�ownika, odgadni�ciehase�, przynajmniej kilku u�ytkowników, nie stanowi problemu.Tu w�aSnie przydaje si� opcja securenets.Na podstawie adresów IP lub numerów sie-ci zezwala na dost�p do twojego serwera NIS tylko pewnym hostom.Ostatnia wer-sja ypserv implementuje t� funkcj� na dwa sposoby.Pierwszy opiera si� na specjaln-ym pliku konfiguracyjnym /etc/ypserv.securenets, a drugi u�ywa odpowiednich pli-ków /etc/hosts.allow i /etc/hosts.deny, które omówiliSmy w rozdziale 12, Wa�ne funkcjesieciowe*.Aby wi�c ograniczy� dost�p do hostów z browaru, administrator sieci po-winien doda� poni�szy wiersz do pliku hosts.allow:ypserv: 172.16.2.Pozwoli to wszystkim hostom o adresach IP 172.16.2.0 na dost�p do serwera NIS.Aby zabroni� dost�pu wszystkim pozosta�ym hostom, musisz umieSci� w plikuhosts.deny nast�puj�cy wpis:ypserv: ALLNumery IP nie s� jedynym sposobem na okreSlenie hostów (lub sieci) w plikuhosts.allow i hosts.deny.Szczegó�y znajdziesz na stronie podr�cznika hosts_access(5)w twoim systemie.Jednak pami�taj, �e nie mo�esz u�ywa� nazw hosta lub domen wewpisieypserv.Je�eli podasz nazw� hosta, serwer b�dzie próbowa� j� rozwi�za�,ale resolver z kolej wywo�a ypserv i wejdziesz w niesko�czon� p�tl�.Aby skonfigurowa� bezpiecze�stwosecurenetsza pomoc� metody /etc/ypserv.securenets, musisz stworzy� plik konfiguracyjny /etc/ypserv.securenets.Ten plik konfi-guracyjny ma prost� struktur�.Ka�dy wiersz opisuje host lub sie�, które maj� dost�pdo serwera.Wszelkie adresy nie opisane przez wpisy w tym pliku nie b�d� mia�ydost�pu do serwera.Wiersz rozpoczynaj�cy si� do znaku # b�dzie traktowany jakokomentarz.Przyk�ad 13-1 pokazuje, jak wygl�da prosty plik /etc/ypserv.securenets.* W��czenie metody /etc/hosts.allow mo�e wymaga� ponownej kompilacji serwera.Przeczytaj instrukcjezawarte w pliku README do��czonym do pakietu dystrybucyjnego.236 Rozdzia� 13: System informacji sieciowejPrzyk�ad 13-1.Przyk�adowy plik ypserv.securenets# dopuszczenie po��cze� z lokalnego hosta - potrzebnehost 127.1# to samo co 255.255.255.255 127.1## dopuszczenie po��cze� z dowolnego hosta z sieci browaru# wirtualnego255.255.255.0 172.16.1.0#Pierwszy wpis w ka�dym wierszu to maska sieci, a s�owo kluczowehostjest trak-towane jako "maska sieci 255.255.255.255.Drugi wpis w ka�dym wierszu to adresIP, którego dotyczy maska sieci.Trzecia mo�liwoS� to u�ycie bezpiecznego portmappera zamiast securenets w ypserv.Bezpieczny portmapper (portmap-5.0) wykorzystuje tak�e schemat hosts.allow, aleudost�pnia go dla wszystkich serwerów RPC, a nie tylko dla ypserv*.Jednak nie powi-nieneS u�ywa� jednoczeSnie opcji securenets i bezpiecznego portmappera, poniewa�spowoduje to nadmiar uwierzytelniania.Konfigurowanie klienta NIS z GNU libcOpiszemy teraz i omówimy konfiguracj� klienta NIS-a wykorzystuj�cego bibliotek�GNU libc [ Pobierz całość w formacie PDF ]