Назад | Перейти на главную страницу

Серверные домашние устройства и универсальный вход в сеть Linux? (Кроме NFS + NIS?)

Этот вопрос был вроде как, уже спросил, но есть проблема безопасности с настройкой NFS + NIS, которая все еще меня беспокоит: если вы знаете чье-то имя пользователя / uid, вы можете настроить компьютер * nix, создать пользователя локально с тем же именем / uid и presto, вы можете смонтировать сервер FS, и он предоставит вам доступ к файлам пользователя.

Итак, мой вопрос конкретен: есть ли альтернативная установка, которая не даст доступа к файлам сервера, ни в коем случае, ни как, если у вас нет действующего имени пользователя и пароля, даже если вы настроите свой собственный компьютер и разместите его в сети?

Пользователи по-прежнему должны иметь возможность входить в систему на своих рабочих станциях и работать со своими файлами на сервере, не вводя все время свой пароль. Ничего страшного, если он работает только в графическом интерфейсе Linux, таком как Gnome.

НИС древний, забудьте, что он даже существует. Вы можете использовать LDAP, чтобы добиться того же гораздо более современным способом. Предлагаю вам взглянуть на Kerberos и NFSv4 для аутентификации пользователей. Это изрядная часть инфраструктуры, которую нужно настроить, но как только вы все начнете, ее не так сложно поддерживать.

Нельзя решить проблемы безопасности с помощью NFSv4 и керберос? Kerberos был упомянут в ответе на ваш предыдущий вопрос, но вы не упоминаете его в своем новом вопросе о проблемах безопасности.

Я не понимаю, как можно обмануть общий ресурс nfs, требующий аутентификации Kerberos, простым совпадающим именем пользователя / uid.

Учебник для Ubuntu если это то, что вы используете, можно найти Вот.

Я не поклонник NFS / NIS, но проблема безопасности, которую вы описываете, - это проблема конфигурации, а не врожденный недостаток: вы можете настроить свой сервер NFS так, чтобы он выполнял только запросы монтирования от известных хостов (или, если хотите, это от netgroup), поэтому J. Random Hacker не может просто подключить и начать монтировать материал. Увидеть exports(5) подробности можно найти на странице руководства или просмотреть действительно хорошие примеры из книги O'Reilly NFS + NIS.

(Это не решает никаких других проблем с NFS / NIS, которые являются врожденные недостатки, но это немедленное решение вашей непосредственной проблемы :).

LDAP или Samba для унифицированного входа в систему. Любая сетевая файловая система должна позволить вам завершить уравнение.