Következő: 12.2.3.0.5.3 A szerver biztonsága Fel: 12.2.3.0.5 Biztonság és NFS Előző: 12.2.3.0.5.1 A kliensek biztonsága   Index

12.2.3.0.5.2 A szerver biztonsága - nfsd

A szerveren el kell dönteni, hogy megbízol-e a kliens gépek root-jában. (15.40. fejezet) A root_squash opció a kliensről root-ként érkező felhasználó hozzáférési jogait átállítja a nobody felhasználó jogaira, tehát nem root-ként fog - korlátlan jogokkal - hozzáférni a kiexportált fájlokhoz. A kliens root-ja a su paranccsal bármelyik felhasználóként be tud jelentkezni a jelszó ismerete nélkül, és így bárkinek a nevében meg tud változtatni fájlokat. Sajnos ez az út valóban járható, ezért a fontos fájlok a root tulajdonában legyenek, és nem valamelyik nem root (bin, stb.) felhasználó tulajdonában, mert a kliens root-ja csak a szerver root-jának fájljaihoz nem férhet hozzá kizárólagos joggal. Ez a beállítás az alapértelmezés a Linux NFS szerverénél, ha meg akarod ezt változtatni, akkor külön kell engedélyezned a mount no_root_squash opciójával.

Másik fontos dolog, hogy a szerver ellenőrzi, hogy a kérés privilégizált portról érkezett-e. Ha elfogad egy kérést bármelyik portról, akkor a kliensen egy felhasználó speciális jogok nélkül is futtathat olyan programot, amin keresztül az egész Internet elérheti a szervert.

A Linux nfsd-je nem ellenőriz alapértelmezetten. Soha ne exportálj egy fájlrendszert a localhostnak vagy a 127.0.0.1-nek.

Következő: 12.2.3.0.5.3 A szerver biztonsága Fel: 12.2.3.0.5 Biztonság és NFS Előző: 12.2.3.0.5.1 A kliensek biztonsága   Index