De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Rubens Queiroz de Almeida
Data de Publicação: 14 de Agosto de 1997
Desculpem-me, mas na dica de hoje eu cometi um (pequeno) erro. Na sintaxe do arquivo /var/yp/securenets, o endereço da máscara de rede vem primeiro e em seguida vem o endereço da rede.
Tomei a liberdade de enviar a dica novamente para voces, com as devidas correções e acrescentei um pedaço do FAQ do AIX que trata do assunto.
O engano me foi apontado por "Carlos A. F. Brefe" <<brefe (a) bdt org br>>, a quem gostaria de agradecer.
Obrigado a todos,
Rubens
Não é novidade para ninguém que os serviços NIS oferecem sérios perigos à segurança de um sistema. Uma destas razões é que qualquer pessoa na Internet pode puxar qualquer mapa do NIS que desejar.
Um mapa bastante visado é o mapa de usuários (passwd). Mesmo que o seu sistema possua shadow passwords, ou seja, as passwords são gravadas em um arquivo diferente do /etc/passwd, o mapa do NIS combina os dois arquivos, tornando a expor as senhas.
% cat /etc/passwd | grep queiroz queiroz:!:1020:1000:Rubens Queiroz de Almeida:/home/queiroz:/bin/ksh.
Já o comando
% ypcat passwd|grep queiroz queiroz:XzvA/VzEP0yB.:1020:1000:Rubens Queiroz - SUPSOF:/home/queiroz:/bin/ksh
Ou seja, a segurança criada pelas shadow passwords é anulada pelo NIS.
Uma maneira de se reduzir os riscos é especificar quais máquinas podem realizar a transferência dos mapas de NIS. Isto pode ser feito criando-se um arquivo denominado "securenets" e localizado no diretório /var/yp do servidor NIS.
Este arquivo contém linhas do tipo
255.255.255.0 200.200.20.0 255.255.255.0 200.200.21.0
Cada linha consiste do endereço de uma máscara de rede (netmask) seguida do endereço da rede.Uma vez criado este arquivo apenas computadores que se enquadrem nestas restrições poderão fazer transmissão de mapas NIS do servidor (master ou slave) em questão.
A seguir anexo uma parte do FAQ do AIX que descreve as securenets e esclarece alguns pontos interessantes tais como maneiras de se identificar de onde partem tentativas de transferência (possivelmente ilegais) de mapas.
Subject: 1.614: NIS security Ole.H.Nielsen@fysik.dtu.dk (Ole Holm Nielsen) SUMMARY: AIX 3.2.4 and above includes support for a more secure setup of the ypserv NIS daemon. You can prevent any random host on the entire Internet from reading your NIS maps, as is possible with the default AIX setup. The details: ------------ After starting the ypserv daemon, I noticed in the syslog the following line: Jan 17 12:01:18 zeise syslog: /usr/etc/ypserv: no /var/yp/securenets file This indicates that ypserv is looking for the mentioned configuration file, but did not find <I>, and hence will deliver the NIS maps to anyone on the net who can guess the NIS domainname. I installed the /var/yp/securenets file and restarted ypserv, and <I> works ! Any illegal attempt to read NIS maps will result in the following getting logged to syslog (example): Jan 18 13:37:27 zeise syslog: ypserv: access denied for 129.142.6.79 How to enable this NIS security option: Install the /var/yp/securenets file, for example: # /var/yp/securenets file # # The format of this file is one of more lines of # netmask netaddr # Both netmask and netaddr must be dotted quads. # # Note that for a machine with two Ethernet interfaces (i.e. a gateway # machine), the IP addresses of both have to be in /var/yp/securenets. # # for example: #255.255.255.0 128.185.124.00 # Loopback interface 255.255.255.255 127.0.0.1 Uncommenting the last line would limit access to hosts on the 128.185.124.* net, only. The loopback interface must be included, as shown above. To log violations, have a /etc/syslog.conf file containing the proper events. We use this line: *.err;kern.debug;auth.notice;user.none /var/adm/messages Caveat emptor: This works for us, and you will have to verify <I> at your own installation. Don't complain to us if you have troubles. I do not know what PTF level our AIX 3.2.4 is at. Our ypserv daemon looks like this: zeise> strings /usr/lib/netsvc/yp/ypserv | head -2 @(#)16 1.12 com/cmd/usr.etc/yp/ypserv.c, cmdnfs, nfs325, 9334325a 5/4/93 19:44:41 If your AIX doesn't have securenets support, ask your support centre for the PTF which includes APAR IX32328. That seems to have included the securenets support.
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários