pristup roota z klientske stanice na NFS/NIS server

[Alexandr Malusek]

Petr.Novotny na antek.cz (Petr Novotny) writes:

> > Potrebovali bysme ale nejak zaridit, aby root z klientske stanice
> > mohl pristupovat a cist data z vyexportovaneho home disku.
> 
> Jak muzete verit tomu, ze na klientske stanici je root? Ma tohleto 
> NFS nejak osetrovane?

NFS ma nizkou uroven bezpecnosti (bylo vytvoreno v dobe, kdy
bezpecnost nebyla tak dulezita jako dnes) - pokud NFS server exportuje
adresare s volbou no_root_squash a nekdo odpoji puvodniho klienta od
site a pripoji si napr. vlastni laptop se stejnou IP adresou (kde se
zaloguje jako root), pak ziska rootovska prava na exportovane adresare
na NFS serveru.

Tyto bezpecnostni problemy jsou reseny v secure NFS - klientske PC se
pri montovani prokazuje "credentials", ktere ma ulozene na disku
(pouziva pritom kryptografii pomoci verejneho klice), ale to v
distribucich Linuxu neni. Nicmene pokud nekdo ziska rootovsky pristup
na puvodnim klientovi, pak ani secure NFS nepomuze.

Celkem by me zajimalo, jestli nove sitove filesystemy (CODA, ...)
mohou nektere konfigurace NFS v lokalni siti nahradit. Zejmena co se
vykonnosti a stability tyce. (Fakt je, ze NFS prilis rychle neni a
navic implementace na Linuxu ma k rock-stable stavu take daleko).

--
A. Malusek  (malusek na ujf.cas.cz)
UJF AV CR