Melhoria da Segurança de NIS e NFS

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 17 de Agosto de 1997

Esta dica me foi enviada por Carlos A M dos Santos <<casantos (a) cpmet ufpel tche br>> como complemento de minha dica sobre o arquivo /var/yp/securenets.

Outra maneira muito eficiente de se restringir o acesso ao servico NIS (e tambem a NFS) e usar o portmapper desenvolvido por Wietse Venema, disponivel em

  ftp://ftp.win.tue.nl:/pub/security/

Esse portmapper pode ser compilado para usar uma configuracao de acesso nos mesmos arquivos do TCP wrapper (que tambem e de autoria de Wietse Venema).

      /etc/hosts.allow:
          portmap: your.sub.net.number/your.sub.net.mask
          portmap: 255.255.255.255 0.0.0.0
  
      /etc/hosts.deny
          portmap: ALL: (/some/where/safe_finger -l @%h | mail root) &

Duas observacoes muito importantes quanto ao uso no Linux:

Algumas distribuicoes, embora usem esse software, nao o trazem compilado com a opcao de restricao de acesso. Slackware 3.2 e Red Hat 4.1 sao duas delas. A solucao e' recompilar o pacote.

Existe uma nova implementacao de NFS para Linux, incluida na versao 2.1.* do kernel. Nao tenho informacoes mais detalhadas sobre ela (nem tempo para ver isso agora 8^( ) mas sugiro a quem for utilizar que verifique o aspecto da seguranca. Se alguem tiver informacoes detalhadas sobre isso eu ficaria muito grato.

  Carlos Augusto Moreira dos Santos        casantos@cpmet.ufpel.tche.br
  Universidade Federal de Pelotas          Centro de Pesquisas Meteorologicas
  Av Ildefonso Simoes Lopes, 2751          Telefone (0532)23-2525
  Pelotas, RS, Brasil                      FAX (0532)23-4814
  CEP 96060-290                            http://cpmet.ufpel.tche.br