NFS root filesystem - bezpecnost

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Březen 5 17:23:12 CET 2000


On Fri, 3 Mar 2000, Jiri Stepanek wrote:

> Mam tu jeden problem s bezpecnosti pocitacu, ktere bootuji linux po siti.
> Na serveru je RH6.1, bootpd a knfsd.
> Na ostatnich pocitacich jsou win9x a na disku maji loadlin s jadrem s
> podporou NFS root a BOOTP.
> Vsechno mi funguje skvele, ale bezpecnost asi nebude moc velka.
> Kdyz si nekdo prinese bootdisketu s podporou NFS a mountne si root fs tak
> si muze delat se vsema souborama co chce.

Pokud je to exportovano rw, tak zcela nepochybne. (Krome toho ma takovy
skodic spoustu jinych prilezitosti: muze cmuchat po siti, vymenit image na
wokennim pocitaci (svem ci cizim)...)

Prinejmensim by mely stanice pouzivat jako root neco, co je exportovano
readonly a co neni zcela identicke s root fs serveru. Pristup rw byl mel
byt omezen na oblasti pro obycejne uzivatele a povolen pro konkretni
stanici a konkretniho uzivatele az pote, co se z ni dany uzivatel
autentizuje (i kdyz tam porad chybi obrana proti utokum na sitove
urovni).

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."




Další informace o konferenci Linux