[ Pobierz całość w formacie PDF ]
.Na przyk³ad za da nia ad mi ni stra cyj necron mog¹ wy ko ny waæ po le ce-Ko rzy sta nie z map pas swd i gro up 241nie su, by tym cza so wo uzy skaæ pra wa u¿yt kow ni ka news, lub pod sys tem UUCPmo¿e wy sy³aæ ra port o sta nie.Je ¿eli news i uucp nie bêd¹ mia³y wpi sów w lo kal nympli ku passwd, za da nia nie przejd¹ na wet przez etap prze szu ki wañ NI S-a.Je ¿eli u¿y wasz te¿ sta rej im ple men ta cji NI S-a (obs³ugi wa nej przez tryb compat dlapli ków passwd i group w im ple men ta cjach NYS lub glibc), mu sisz wsta wiæ w pli kachpasswd dziwne wpi sy spe cjal ne.Wpi sy te in for muj¹, gdzie zo stan¹ wsta wio ne re kor-dy NIS w ba zie in for ma cji.Wpi sy mog¹ zo staæ do da ne w do wol nym miej scu pli ku,zwy kle na je go ko ñcu.Wpi sy do da wa ne do pli ku /etc/passwd s¹ na stê puj¹ce:+::::::a do pli ku /etc/groups :+:::Za rów no w glibc 2.x, jak i w NYS mo¿esz zmie niaæ pa ra me try w re kor dzie u¿yt kow-ni ka uzy ska nym z ser we ra NIS, tworz¹c wpi sy ze zna kiem + umiesz czo nym przednazw¹ u¿yt kow ni ka, i usu waæ pew ne wpi sy, do daj¹c znak -.Na przyk³ad wpi sy:+stuart::::::/bin/jacl-jedd::::::uniew a¿ni¹ pow³okê zde fin iowan¹ dla u¿ytk owni ka stuart na ser wer ze NIS i niepo zwol¹ u¿ytk owni kowi jedd za log owaæ siê na tej ma szyn ie.Po la pu ste, nie wy-pe³nio ne, oznac zaj¹ wy kor zyst anie in form acji do starc zony ch przez ser wer NIS.S¹ tu jed nak dwa po wa ¿ne za strze ¿e nia.Po pierw sze, opi sa na do tej po ry kon fi gu ra-cja dzia³a tyl ko dla lo go wa nia, któ re nie wy ko rzy stu je ha se³ sha dow.Za wi³oSci ko-rzy sta nia z ha se³ sha dow w NI S-ie zo stan¹ omó wio ne w ko lej nym pod roz dzia le.Podru gie, po le ce nia lo go wa nia nie s¹ je dy ny mi, któ re do staj¹ siê do pli ku passwd po-rów naj po le ce nie ls, któ re go wci¹¿ u¿y wa wie le osób.W pe³nym li stin gu ls wy Swie-tla na zwy sym bo licz ne u¿yt kow ni ka i gru py, któ rzy s¹ w³aSci cie la mi pli ku.To zna-czy, ¿e w przy pad ku na po tka nia ka ¿ de go uid i gid po le ce nie mu si za daæ za py ta niedo ser we ra NIS.Za py ta nie NIS trwa nie co d³u¿ej, ni¿ rów no wa ¿ne prze szu ki wa-nie pli ku lo kal ne go.Mo¿e siê oka zaæ, ¿e umiesz cze nie w NI S-ie in for ma cji z pli kówpasswd i group znacz nie zmniej sza wy daj noSæ pro gra mów, któ re czê sto ko rzy staj¹z tych in for ma cji.To jeszcze nie wszystko.Wyobrax sobie, co siê stanie, je¿eli u¿ytkownik zechcezmie niæ has³o.Zwy kle wy wo³uje on po le ce nie passwd, któ re wczy tu je no we has³o iuak tu al nia lo kal ny plik passwd.Jest to nie mo ¿li we w przy pad ku NI S-a, gdy¿ plik niejest nig dzie do stêp ny lo kal nie, a lo go wa nie siê u¿yt kow ni ków do ser we ra NIS za ka-¿dym ra zem, gdy chc¹ oni zmie niæ has³o, nie jest ta k¿e do brym roz wi¹za niem.Dla-te go NIS udo stêp nia za stêp cê passwd po le ce nie yppasswd, któ re obs³ugu je zmianêhas³a w NI S-ie.Aby zmie niæ has³o na ser we rze, ³¹czy siê ono przez RPC z de mo nemyppasswdd na tym ser we rze i prze ka zu je mu ak tu al ne in for ma cje o ha S le.Zwy kle in-sta lu je siê yppasswd, za miast nor mal ne go po le ce nia passwd, w na stê puj¹cy spo sób:# cd /bin# mv passwd passwd.old# ln yppasswd passwd242 Roz dzia³ 13: Sys tem in for ma cji sie cio wejW tym sa mym cza sie mu sisz za in sta lo waæ na ser we rze pro gramrpc.yppasswdd i uru-chomiæ go ze skryptu sieciowego.Spowoduje to ukrycie przed u¿ytkownikamiwiêkszo Sci dzia³añ NI S-a.U¿ywanie NIS-a z obs³ug¹ hase³ shadowKo rzy sta nie z NI S-a w po³¹cze niu z pli ka mi ha se³ sha dow jest nie co k³opo tli we.Naj-pierw z³e wia do mo Sci: NIS pod wa ¿a sens u¿y wa nia ha se³ sha dow.Sche mat ha se³shadow zo sta³ za pro jek to wa ny po to, by za bro niæ u¿yt kow ni kom nie po sia daj¹cymprawa roota dostêpu do zaszyfrowanej postaci hase³.U¿ywanie NIS-a dowspó³dzie le nia da nych shadow po wo du je ko niecz noSæ udo stêp nie nia za szy fro wa-nych ha se³ oso bom, któ re pods³uchuj¹ od po wie dzi ser we ra NIS w sie ci.Roz wi¹za-nie po le gaj¹ce na zmu sza niu lu dzi do wy bo ru do brych ha se³ jest zde cy do wa nielep sze, ni¿ próba u¿y wa nia ha se³ sha dow w Sro do wi sku NIS.Przyj rzyj my siê szyb-ko, jak to zro biæ.W libc5 nie ma praw dzi we go roz wi¹za nia po zwa laj¹ce go na wspó³dzie le nie da nychshadow za pomoc¹ NIS-a.Jedynym sposobem na rozpowszechnianie informacjio u¿yt kow ni kach i has³ach przez NIS jest u¿y cie stan dar do wych map passwd.*.Je-¿eli masz zainstalowane has³a typu shadow, najprostszym sposobem na ich roz-sy³anie jest ge ne ro wa nie od po wied nie go pli ku passwd na pod sta wie /etc/shadow zapo moc¹ na rzê dzi ta kich, jak pwuncov, i two rze nie map NI S-a na pod sta wie uzy ska-ne go pli ku.Oczyw iScie wy myS lono kil ka zab iegów, któ re umo¿ liwi aj¹ u¿yw anie ha se³ shad owi NI S-a w tym sa mym cza sie, jak na przyk³ad in stal acja pli ku /etc/shadow na ka ¿dymho Scie w sie ci i dys tryb uow anie in form acji o u¿ytk owni kach przez NI S-a.Jed nak tasztucz ka jest na prawdê pry mit ywna i w za sad zie za prze cza istocie NI S-a, kt óry mau³atwiaæ ad min ist rowan ie sys tem em.Obs³uga NI S-a w bi blio te ce GNU libc (libc6) uwzglêd nia has³a ty pu sha dow.Nie za-pew nia ¿ad ne go roz wi¹za nia, któ re udo stêp nia³oby has³a, ale uprasz cza zarz¹dza-nie has³ami w Sro do wi skach, w któ rych chcesz u¿y waæ i NI S-a, i ha se³ sha dow.Abyto zro biæ, mu sisz stwo rzyæ ba zê da nych shadow.byname i do daæ po ni¿ szy wiersz doswo je go pli ku /etc/nsswitch.conf:# Obs³uga hase³ typu shadowshadow: compatJeSli u¿ywasz hase³ shadow wraz z NIS-em, musisz przestrzegaæ pewnej zasadybez pie cze ñstwa i ogra ni czyæ do stêp do ba zy da nych NIS.Przy po mnij so bie pod roz-dzia³ Bez pie cze ñstwo ser we ra NIS z te go roz dzia³u
[ Pobierz całość w formacie PDF ]