[selinux-aktiva] publik server med nfs-utdelning
Marcus Rejås
marcus at rejas.se
Fre Jan 21 17:46:04 CET 2005
On Fri, Jan 21, 2005 at 17:30:31 +0100, Jens Hjalmarsson wrote:
> > Finns det fler säkerhetsproblem än att någon kan hitta ett hål i NFS?
> > Om alla skulle vara rädda för det så skulle inte någon kunna använda
> > NFS.
>
> Det enda som kan vara problem med att / är utdelat över internet,
> okrypterat, är väl att de krypterade lösenorden kan hämtas och möjligen
> knäckas. Men det går säkert att spärra just /etc/shadow från att delas?
Det kan finnas flera filer man bör skydda beroende på vilka tjänster man
vill demonstrera. Det är till exempel inte helt ovanligt att man anger
lösenord till till exempel en SQL-server i klartext.
Om man skriver en liten wrapper och använder apache så kan man till
exempel göra så att alla filer som normalt inte är world-readable
ersätts av till exempel en fil med samma namn med ändelsen .pub eller
nått. På så sätt kan besökarna se alla filer utan problem. Det går
naturligtvis att göra med nfs med iofs.
> Huruvida nfs funkar bra över Internet vet jag inte eftersom jag aldrig
> provat... Kanske dags att göra det? :)
Som sagt, inte jag heller, med det är en massa portar som används så det
kan säkert ställa till problem för många.
Kom ihåg, jag tycker idén är rolig. Ingen är mer för öppenhet än jag.
Men det är dock inte bara att på vilken server som helst lägga till en
rad "/ (ro,insecure,all_squash)" i /etc/exports och tuffa på ...
/Marcus
--
Marcus Rejås
Svenska Linuxföreningen
http://se.linux.org/
-------------- next part --------------
En bilaga som inte var text, skiljdes ut...
Namn : inte tillgänglig
Typ : application/pgp-signature
Storlek: 189 bytes
Beskrivning: inte tillgänglig
URL : http://mail.se.linux.org/pipermail/selinux-aktiva/attachments/20050121/72071b3e/attachment-0001.pgp
More information about the selinux-aktiva
mailing list