NFS и авторизация

0

0

Нужно экспортировать /home через NFS, но меня беспокоит то, что нехороший человек может создать на своей машине (имея, конечно, на ней рута) пользователя и спокойно читать/писать мои файлы через NFS. Хотелось бы сделать так, чтобы он не мог получить права какого-либо пользователя (за исключением nobody), не вводя его (пользователя) пароль.

Ссылка

←	не работает DNS в chroot

WatchGuard <---> OpenSwan

→

kerberos5, pam_krb5, ksu + NFSv4 с поддержкой GSSAPI -помогут. Но это решение на уровне enterprise. Для домашней директории и вообще дома - почти никак(root - он и есть root.) :(

Уточнияющий вопрос: машина нехорошего человека управляется тобой?

jr_A ★
(23.08.06 14:38:55 MSD)

Используй Kerberos V5 -
http://nfsworld.blogspot.com/2006/02/real-authentication-in-nfs.html

MiracleMan ★★★★★
(23.08.06 14:53:01 MSD)

Ссылка

можно задать, что ты экспортируешь nfs только конкретному ip-адресу. И на этот адрес поставить политику ipsec

dilmah ★★★★★
(23.08.06 15:39:16 MSD)

Ответ на: комментарий от jr_A 23.08.06 14:38:55 MSD

Нет. Считайте, что он может подойти и воткнуться в сеть с ноутбуком и взять себе любой свободный IP.

kmeaw ★★★
(23.08.06 17:11:12 MSD) автор топика

Ответ на: комментарий от dilmah 23.08.06 15:39:16 MSD

У меня появлялась мысль написать программу, которая проверяет md5(login/password) на правильность и в случае совпадения экспортирует директорию на конкретный IP в течении 30 минут. Насколько это криво и в чем опасность данного решения?

kmeaw ★★★
(23.08.06 17:13:46 MSD) автор топика

Ответ на: комментарий от kmeaw 23.08.06 17:11:12 MSD

> Нет. Считайте, что он может подойти и воткнуться в сеть с ноутбуком и взять себе любой свободный IP.

Тогда никак. Если человек владеет root - стандартными методами тут ничего не сделаешь.

В свое время меня очень сильно веселил способ решения этой проблемы который применили в Интел (EMEA регионах) - они в production сетях запретили root на клиентских машинах, хотя в лабораторных сетях ты мог делать что угодно.

Лучше для таких целей использовать CIFS или NFSv4 у которого с безопасностью не так печально как в NFSv3.

Кстати, есть такая расшифровка NFS: No File Security - и это действительно так.

jr_A ★
(23.08.06 18:45:44 MSD)

Ссылка

Ответ на: комментарий от kmeaw 23.08.06 17:13:46 MSD

> У меня появлялась мысль написать программу, которая проверяет md5(login/password) на правильность и в случае совпадения экспортирует директорию на конкретный IP в течении 30 минут. Насколько это криво и в чем опасность данного решения?

А через полчаса что делать будешь? Еще раз с юзера пароль дергать - он тебя придушит :) И потом, что мешает заменить свой IP на тот, который уже авторизован и аутентифицирован?

jr_A ★
(23.08.06 18:48:20 MSD)