---

Jeg er omsider blevet træt af at foretage de samme rettelser i
/etc/passwd, /etc/group osv. og havde tænkt mig at begynde at
bruge NIS.

Men hvad med sikkerheden ? Så vidt jeg kan læse mig frem til er
NIS et gabende hul i den retning. Jeg bruger normalt ssh til at
logge ind remote, men vil NIS sende mine passwords i klartekst
over nettet alligevel ?

Hvis der er nogen, der har brugt NIS, vil jeg gerne høre om
jeres erfaringer.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Jeg er omsider blevet træt af at foretage de samme rettelser i
> /etc/passwd, /etc/group osv. og havde tænkt mig at begynde at
> bruge NIS.

Der er heldigvis andre muligheder end NIS; f.eks. LDAP eller Kerberos.
Hvis du fortaeller lidt om dine behov kan vi foreslaa hvilken retning du
skal kigge i.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Der er heldigvis andre muligheder end NIS; f.eks. LDAP eller Kerberos.
> Hvis du fortaeller lidt om dine behov kan vi foreslaa hvilken retning du
> skal kigge i.

Mindre virksomhed med 5-10 brugere (som jeg er lidt ligeglad med) og
et antal servere. Det skal være muligt at hoppe mellem serverne med
ssh for administratorerne og der skal være et ens layout for alle NFS
mounts. Dvs. /etc/passwd, /etc/group skal ligge centralt og jeg skal
have skabt et arrangement for NFS mounts'ene i /etc/fstab.

Jeg kommer til at spekulere på, om min nervøsetet for NIS overhovedet
har nogen relevans, hvis NFS alligevel spolerer festen. Men jeg HADER
nu at se mine passwords gå hen over nettet alligevel

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> Mindre virksomhed med 5-10 brugere (som jeg er lidt ligeglad med) og
> et antal servere. Det skal være muligt at hoppe mellem serverne med
> ssh for administratorerne og der skal være et ens layout for alle NFS
> mounts. Dvs. /etc/passwd, /etc/group skal ligge centralt og jeg skal
> have skabt et arrangement for NFS mounts'ene i /etc/fstab.

Du kunne også bare diste de pågældende filer ud med tar over ssh.

> Jeg kommer til at spekulere på, om min nervøsetet for NIS overhovedet
> har nogen relevans, hvis NFS alligevel spolerer festen. Men jeg HADER
> nu at se mine passwords gå hen over nettet alligevel

Bruger du NFS så er du selv ude om det. Så er sikkerheden røget, hvis
maskinerne kan bootes fra andet end de ting du vil have. Hvorfor ikke
bare køre rent netklienter?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen wrote:

> Du kunne også bare diste de pågældende filer ud med tar over ssh.

Ja det er også en mulighed. Måske endda med et cron job, der periodisk
tjekkede datoerne på filerne og aktiverede scp, hvis der var opdateringer.
Men jeg er ikke vild med at bikse noget sikkerhedsrelateret sammen på
egen hånd. Det er langt bedre at lade andre lave fejlene først


>> Jeg kommer til at spekulere på, om min nervøsetet for NIS overhovedet
>> har nogen relevans, hvis NFS alligevel spolerer festen. Men jeg HADER
>> nu at se mine passwords gå hen over nettet alligevel
>
> Bruger du NFS så er du selv ude om det. Så er sikkerheden røget, hvis
> maskinerne kan bootes fra andet end de ting du vil have. Hvorfor ikke
> bare køre rent netklienter?

Jeg ser ikke sammenhængen mellem NFS og at maskinerne kan bootes fra
et andet medie ?

Men jeg er i øvrigt ikke bange for boots. Hvis der er nogen, der har
fysisk adgang til maskinerne er slaget tabt alligevel. Det er mere det,
at hvis en cracker får sneget sig ind på mit net, kan han ligge og
sniffe passwords. At han kan læse NFS filer, der transpoteres over
nettet er slemt men passwords er altså værre.

Findes der virkeligt ikke en samlet og _secure_ løsning på fildeling
og brugeridentifikation ?

-Claus

---

Claus Rasmussen wrote:

> Findes der virkeligt ikke en samlet og _secure_ løsning på fildeling
> og brugeridentifikation ?
>

jo jo.. det skal da kunne lade sig gøre. Om ikke andet, så kør IPsec
mellem alle maskinerne. :)

Brugeridentifikation burde kunne klares med LDAP/SSL. Fil-deling...
Hmm.. hvis SMB/NFS ikke er ønsker, så tror jeg faktisk det vil være en
idé at undersøge om WebDAV/SSL er en mulighed.

Peter

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> > Bruger du NFS så er du selv ude om det. Så er sikkerheden røget, hvis
> > maskinerne kan bootes fra andet end de ting du vil have. Hvorfor ikke
> > bare køre rent netklienter?
>
> Jeg ser ikke sammenhængen mellem NFS og at maskinerne kan bootes fra
> et andet medie ?

NFS - i den version jeg kender - hænger hele sikkerheden på at den kan
stole på et givent IP-nummer. Enten eller. Kan du boote en Linux du
har med, kan du også lege NFS-klient og se alle filer som maskinen kan
se normalt. Herudover kan du også sniffe netværket for filer. Al
NFS-traffik er ukrypteret.

> Findes der virkeligt ikke en samlet og _secure_ løsning på fildeling
> og brugeridentifikation ?

Vil du betale?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen wrote:

> Claus Rasmussen <clr@cc-consult.dk> writes:
>
>> Findes der virkeligt ikke en samlet og _secure_ løsning på fildeling
>> og brugeridentifikation ?
>
> Vil du betale?

Kan du levere ?

(nej, jeg tror ikke at der budget til det)

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> >> Findes der virkeligt ikke en samlet og _secure_ løsning på fildeling
> >> og brugeridentifikation ?
> >
> > Vil du betale?
>
> Kan du levere ?

Næppe i den kvalitet du ønsker, men jeg tror Alex kan.

> (nej, jeg tror ikke at der budget til det)

Det er der aldrig.

Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen wrote:

> Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
> Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.

Holdning: Uenig. Argument: ssh.

-Claus

---

Claus Rasmussen wrote:
> Thorbjoern Ravn Andersen wrote:
>>Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
>>Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.

> Holdning: Uenig. Argument: ssh.

Hmm... først skal man jo lige forstå hvilke nøgler der skal hvor hen og
det kan da godt kræve lidt tilvænning af folk der ikke har arbejdes med
public/private key systemer.
... men du har da ret i at når først det kører er SSH dejligt nemt :)

Peter

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> > Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
> > Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.
>
> Holdning: Uenig. Argument: ssh.

Hvordan vil du lave password-validering via ssh?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen wrote:

> Claus Rasmussen <clr@cc-consult.dk> writes:
>
>> > Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
>> > Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.
>>
>> Holdning: Uenig. Argument: ssh.
>
> Hvordan vil du lave password-validering via ssh?

Jeg læste din kommentar som værende generel og nævnte derfor
ssh som jeg mener er virkeligt bekvemmligt (hvis man som Peter
skriver; lige ser bort fra opsætningen).

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> > Hvordan vil du lave password-validering via ssh?
>
> Jeg læste din kommentar som værende generel og nævnte derfor
> ssh som jeg mener er virkeligt bekvemmligt (hvis man som Peter
> skriver; lige ser bort fra opsætningen).

Min kommentar er generel.

Hvis du som systemadministrator ønsker at yde ssh-service for
brugerne, bliver det gerne lidt langhåret.


--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen <thunderbear@bigfoot.com> wrote:
> Hvis du som systemadministrator ønsker at yde ssh-service for
> brugerne, bliver det gerne lidt langhåret.

Hm, hvordan bliver det langhaaret? (Naar min kvinde kan laere det, kan
alle andre ikke-computerbrugere det ogsaa.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> Thorbjoern Ravn Andersen <thunderbear@bigfoot.com> wrote:
> > Hvis du som systemadministrator ønsker at yde ssh-service for
> > brugerne, bliver det gerne lidt langhåret.
>
> Hm, hvordan bliver det langhaaret? (Naar min kvinde kan laere det, kan
> alle andre ikke-computerbrugere det ogsaa.)

Heterogent netværk, heterogene adgangsbetingelser, systemopsat
ssh-services for alle, så de ikke selv skal rode med ssh
nøgler. Udfyld selv resten.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen <thunderbear@bigfoot.com> wrote:
> Claus Rasmussen <clr@cc-consult.dk> writes:
>> Kan du levere ?
>
> Næppe i den kvalitet du ønsker, men jeg tror Alex kan.

Du burde vide, at reklamer ikke er velsete paa Usenet, Thorbjoern :)

> Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
> Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.

Det ved jeg godt, at mange siger, men jeg mener ikke det er korrekt
(laengere?).

Hvis vi tager et eksempel hos en flok udviklere hvor vi skal introducere
retningslinier for sikker kode og kvalitets test vil der i en periode
vaere et overhead mens disse nye metoder laeres. Stoerrelsen af dette
overhead afhaenger af hvor dygtige og motiverede udviklerene er. Efter
et stykke tid er de nye metoder blevet laert og jeg har konsekvent set
en *formindskelse* af tiden det tager at levere et produkt, samt en
*forbedring* af det leverede produkt.

Man kan naturligvis blive ved med at haelde krav og retningslinier paa
disse udviklere indtil at produktet tager lige saa lang tid at levere
som tidligere -- uden at der er en forbedring i kvaliteten. Det er saa
her risk management kommer ind.

Det samme gaelder i et brugermiljoe. Det koster tid og penge at uddanne
brugerne til at bruge hovedet, give dem en token de kan bruge overalt og
installere et nyt OS med en sikkerhedsmodel, men jo mere stoette der er
fra ledelsen, desto hurtigere og billigere bliver det i det lange loeb.
Tag pengene der bruges til anti-virus software og smid dem over i puljen
til uddannelse.

Hvis introduktion af sikkerhedsprocedurer er skyld i store omveje og
besvaerligheder er det fordi at ledelsen ikke har givet stoette nok
eller at de sikkerhedsansvarlige er inkompetente. Desvaerre er det ofte
70-80% -- af begge dele.

Og _saa_ maa vi hellere fortsaette i dk.edb.sikkerhed.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> >> Kan du levere ?
> >
> > Næppe i den kvalitet du ønsker, men jeg tror Alex kan.
>
> Du burde vide, at reklamer ikke er velsete paa Usenet, Thorbjoern :)

Anbefalinger er ikke reklamer. Bortset fra det, kunne det fx have
været Alex Nyborg Madsen eller Kornprinsefruen.

> > Husk iøvrigt at sikkerhed er omvendt proprotional med bekvemmelighed.
> > Du ønsker bekvemmelighed, og så er der noget sikkerhed der må give sig.
>
> Det ved jeg godt, at mange siger, men jeg mener ikke det er korrekt
> (laengere?).
>
> Hvis vi tager et eksempel hos en flok udviklere hvor vi skal introducere
> retningslinier for sikker kode og kvalitets test vil der i en periode
> vaere et overhead mens disse nye metoder laeres. Stoerrelsen af dette
> overhead afhaenger af hvor dygtige og motiverede udviklerene er. Efter
> et stykke tid er de nye metoder blevet laert og jeg har konsekvent set
> en *formindskelse* af tiden det tager at levere et produkt, samt en
> *forbedring* af det leverede produkt.

Det kan være vi ikke snakker om det samme.

At folk kan finde ud af at lave kvalitetstest og C-kode uden buffer
overflows, er ikke noget der ændrer på at der er andre grundlæggende
problemer. Fx at nettrafik kører ukrypteret i visse protokoller [1],
eller at man kører CVS over ssh[2]og lignende.

[1] Jeg ved godt at man kan køre via SSL, men hvad garanterer at det
er sikkert.

[2] Indenfor det sidste halve år har der været de første 2 "Opgrader
jeres sshd OMGÅENDE" udmeldinger. Uanset hvor sikker ssh ellers er,
så indikerer det klart at systemet ikke er stærkere end det svageste
led.

> Hvis introduktion af sikkerhedsprocedurer er skyld i store omveje og
> besvaerligheder er det fordi at ledelsen ikke har givet stoette nok
> eller at de sikkerhedsansvarlige er inkompetente. Desvaerre er det ofte
> 70-80% -- af begge dele.

Politisk opbakning er altid vigtig. Den oprindelige forespørger
skulle derfor nok gøres opmærksom på at han ikke skulle stå alene med
alt det her.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Jeg ser ikke sammenhængen mellem NFS og at maskinerne kan bootes fra
> et andet medie ?

En NFS server stoler blindt paa hvad klienten siger til den, saa hvis
man kan bilde den ind at man er root paa den maskine man kommer fra, kan
man oprette nye kontoer etc til sig selv.

> Findes der virkeligt ikke en samlet og _secure_ løsning på fildeling
> og brugeridentifikation ?

Lotus Notes?

Av.

Hvad med AFS og Kerberos?

("People say 'make me secure!' but they never define what they mean by
that." -- Brian Snow)

("Systems built without requirements cannot fail. They merely offer
surprises -- usually unpleasant." - Robert T. Morris, Sr.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> En NFS server stoler blindt paa hvad klienten siger til den, saa hvis
> man kan bilde den ind at man er root paa den maskine man kommer fra, kan
> man oprette nye kontoer etc til sig selv.

Nej, sådan fungerer det ikke. Det er på rent filniveau, og som regel
kan root på klienter ikke noget, da de bliver mappet til nobodys gid
og uid.

> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/

and secure :)

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen <thunderbear@bigfoot.com> wrote:
> Alex Holst <a@area51.dk> writes:
>
>> En NFS server stoler blindt paa hvad klienten siger til den, saa hvis
>> man kan bilde den ind at man er root paa den maskine man kommer fra, kan
>> man oprette nye kontoer etc til sig selv.
>
> Nej, sådan fungerer det ikke. Det er på rent filniveau, og som regel
> kan root på klienter ikke noget, da de bliver mappet til nobodys gid
> og uid.

Du har ret i at det afhaenger af permissions paa filniveau (og min
formulering var kludret; tak for rettelsen), men at root bliver mappet
til et unprivileged id er nyt for mig!

Jeg har brugt nfsshell mod FreeBSD og Solaris adskellige gange til at
udnytte daarligt udtaenkte NFS exports, f.eks. shared /etc eller /usr
mounted som writable hvor een fil var writable for en bestemt user. Naar
man saa bilder NFS serveren ind at man er root kan man skrive til alle
andre filer ogsaa.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Du har ret i at det afhaenger af permissions paa filniveau (og min
> formulering var kludret; tak for rettelsen), men at root bliver mappet
> til et unprivileged id er nyt for mig!

Jeg tror, du tænker på NFS exports med no_root_squash optionen. Det
bruger jeg her på mine egne maskiner:

[root@shiva www]# cd /var/www
[root@shiva www]# touch t

[root@shakti www]# cd /var/www
[root@shakti www]# ll t
-rw-r--r-- 1 root root 0 Jun 27 14:07 t

-Claus

---

Alex Holst <a@area51.dk> writes:

> Du har ret i at det afhaenger af permissions paa filniveau (og min
> formulering var kludret; tak for rettelsen), men at root bliver mappet
> til et unprivileged id er nyt for mig!

Det er ikke en ny ting, og sættes op i nfs-dæmonen.

> Jeg har brugt nfsshell mod FreeBSD og Solaris adskellige gange til at

Den utility kender jeg ikke. JEg har dog brugt automounteren under
Irix til at tilgå et Linuxspejl på et andet Universitet, kombineret
med Tab til at komme ned i navigationshierakiet. Det var rart :)
Siden er der kommet nememre ftp-programmer...
--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Mindre virksomhed med 5-10 brugere (som jeg er lidt ligeglad med) og
> et antal servere.

Hvad mener du naar du siger du er ligeglade med disse brugere? At de
ikke er nogen sikkerhedsrisiko? At de maa finde sig i den loesning du nu
implementerer? At du godt ved de griner lidt af det slips du havde paa i
sidste uge, men at du er ligeglad?

> Det skal være muligt at hoppe mellem serverne med
> ssh for administratorerne og der skal være et ens layout for alle NFS
> mounts. Dvs. /etc/passwd, /etc/group skal ligge centralt og jeg skal
> have skabt et arrangement for NFS mounts'ene i /etc/fstab.

Jeg skyder lidt i blinde da du ikke giver mig noget konkret at arbejde
ud fra. Du beskriver hvordan dit NFS layout skal se ud, men du beskriver
ikke virksomhedens sikkerhedsmaessige og funktionelle krav til systemet.

Hvilke services skal du give en authentication loesning til? Hvem skal
bruge disse services, og hvilke OS koerer der paa klienterne? Jeg gaar
ud fra at der koerer en form for UNIX paa serverne.

Jeg gaar ikke ud fra at denne mindre virksomhed har en sikkerhedspolitik
du kan spoerge til raads? Maaske NIS og NFS er en ok risiko i dette
tilfaelde. Hvis det kun er ssh adgang for admins dette handler om kunne
du ogsaa bruge SSH noegler.

Fortael mig mere!

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Hvad mener du naar du siger du er ligeglade med disse brugere? At de
> ikke er nogen sikkerhedsrisiko? At de maa finde sig i den loesning du nu
> implementerer? At du godt ved de griner lidt af det slips du havde paa i
> sidste uge, men at du er ligeglad?

Rigtigt. Rigtigt. Rigtigt


> Jeg gaar ikke ud fra at denne mindre virksomhed har en sikkerhedspolitik
> du kan spoerge til raads? ...

Jeg /er/ sikkerhedspolitikken.


> ... Maaske NIS og NFS er en ok risiko i dette
> tilfaelde. Hvis det kun er ssh adgang for admins dette handler om kunne
> du ogsaa bruge SSH noegler.
>
> Fortael mig mere!

Ok. Virksomheden har logisk set to netværk (som dog ikke er fysisk
adskilt): Brugernetværket til kontorfolk, udviklere osv., og et
servernetværk. Der er dog skarp adskillelse af kontiene på de to
netværk. Kontorbrugerne har ikke konti på serverne.

Brugernetværket er jeg som sagt lidt ligeglad med. Klienterne er
mest Windows og de har adgang til filservere via samba eller NFS.
Sikkerheden her er ikke mere end "almindelig" vigtigt - dvs. at
data ikke er livsnødvendige for virksomheden, og at jeg har tiltro
til brugerne.

Servernetværket er til gengæld en hel anden snak. Det omfatter
database servere, web servere, dns servere, mail servere og hen
ad vejen endnu flere ting, som kræver hård beskyttelse. Det, jeg
er bange for, er ikke så meget, at data bliver opsnappet, men at
en cracker får adgang til nettet og så via opsnappede passwords
kan roote maskinerne og lægge dem ned, hvis han ønsker.

Hver (unix) maskine i servernetværket kører med egen firewall hvor
der kun er åbnet for relevante porte plus ssh, der fuldt ud
opfylder mine krav til sikkerhed. Dertil kommer så NFS som mest
bruges af systemadministrationsprogrammer som backup, fælles
scripts og lignende. Så sniffing af NFS pakker er træls men ikke
nogen katastrofe.

Selve servicene på maskinerne bruger kun undtagelsesvist NFS.
Windows serverne er udenfor denne diskussion og min hemmelige
plan er i øvrigt at få dem pløkket hurtigst muligt.

Men mit problem er altså, at jeg dels ønsker et uniformt NFS layout
hen over alle servere, og at jeg ønsker at slippe for at skulle
opdatere /etc/hosts, /etc/passwd (og /etc/shadow) og /etc/group
på hver maskine. Faren er, at en cracker får sneget sig ind på
en enkelt maskine og så via sniffing pludseligt har adgang til
_alle_ servere.

Som det er i dag, vil en cracker måske kunne komme ind på en
enkelt server eller på brugernetværket, men fordi der kun går
krypterede passwords over nettet hjælper det ham ikke til at
komme videre.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> opdatere /etc/hosts, /etc/passwd (og /etc/shadow) og /etc/group
> på hver maskine. Faren er, at en cracker får sneget sig ind på

Hver server?

> enkelt server eller på brugernetværket, men fordi der kun går
> krypterede passwords over nettet hjælper det ham ikke til at
> komme videre.

Som en anden har sagt er det linier i /etc/passwd og altså ikke
ukrypterede kodeord, der ryger over nettet når man kører NIS.

..Henrik

--
Min signatur er taget på sommerferie.

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
>> Jeg gaar ikke ud fra at denne mindre virksomhed har en sikkerhedspolitik
>> du kan spoerge til raads? ...
>
> Jeg /er/ sikkerhedspolitikken.

Ugh. Har du overvejet at sige op? :)

> Brugernetværket er jeg som sagt lidt ligeglad med. Klienterne er
> mest Windows og de har adgang til filservere via samba eller NFS.

Der er ikke behov for validering foer adgang gives til disse filservere?

> Men mit problem er altså, at jeg dels ønsker et uniformt NFS layout
> hen over alle servere, og at jeg ønsker at slippe for at skulle
> opdatere /etc/hosts, /etc/passwd (og /etc/shadow) og /etc/group

Drop dog /etc/hosts. Opgaven kan klares af en intern DNS server. djbdns
kan saettes op paa mindre end 20 minutter af en som aldrig har roert det
foer, men som kan laese Engelsk.

Gaa over i beancounter mode og regn paa om du tror du kan naa at opdage
en indtraengende paa dit netvaerk inden han kan naa at bruteforce sig gennem
evt. sniffede Kerberos tickets. Baade sshd og sudo har Kerberos support.

Alternativt maa du ud i noget haandkodning af et lille system der kan
holde styr paa en central passwd, group og ssh keys filer der pushes ud
gennem CVS og SSH. Det er ikke saa svaert, men det er rimeligt meget et
hack.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Claus Rasmussen wrote:
> Jeg er omsider blevet træt af at foretage de samme rettelser i
> /etc/passwd, /etc/group osv. og havde tænkt mig at begynde at
> bruge NIS.
>

Hvilket OS?
Jeg kender ikke så meget til andre systemer, men på Linux ville jeg nok
prøve med LDAP istedet.
- kommer også an på hvor mange filer du har tænkt dig at lægge i NIS.
Hvis det kun er /etc/passwd og /etc/group, så kan LDAP ihvertfald klare
det. Hvis det også er /etc/services og de andre, så bliver det måske
lige lovlig krydret.

Peter

---

Peter Mogensen wrote:

> Hvilket OS?

Dumt. Det er det, jeg altid plejer at skrive til newbies, og så glemmer
jeg det selv: Linux


> Jeg kender ikke så meget til andre systemer, men på Linux ville jeg nok
> prøve med LDAP istedet.

Jeg kigger på det. Men jeg efterlyste også lidt omkring folks erfaringer
med store netværk og mange brugere.


> - kommer også an på hvor mange filer du har tænkt dig at lægge i NIS.
> Hvis det kun er /etc/passwd og /etc/group, så kan LDAP ihvertfald klare
> det. Hvis det også er /etc/services og de andre, så bliver det måske
> lige lovlig krydret.

/etc/services bliver normalt ikke ændret mellem reinstallationer af
maskinen, så det kan være det samme. Det er primært /etc/passwd og
venner jeg er ude efter.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> Men hvad med sikkerheden ? Så vidt jeg kan læse mig frem til er
> NIS et gabende hul i den retning. Jeg bruger normalt ssh til at
> logge ind remote, men vil NIS sende mine passwords i klartekst
> over nettet alligevel ?

NIS sender ikke passwords i klartekst (den slår linien i /etc/password
op og sender dén) men så er det stort set også sagt. Hvis du ikke
kører et rent Sun miljø (hvor du kan køre NIS+) så hænger du på den
gamle model, hvor fx password filen er som den altid har været (med
krypterede passwords), og hvor enhver der kan gætte sig til
domænenavnet kan bede om en vilkårlig "fil" i NIS-systmet. Jeg fandt
engang en utility der hedder "ypx" som kunne det, hvorefter det bare
var at hælde det videre til en password cracker.

> Hvis der er nogen, der har brugt NIS, vil jeg gerne høre om
> jeres erfaringer.

Administrativt er det dejligt nemt, men det er kun godt i miljøer hvor
du stoler på alle brugerne.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen wrote:

> NIS sender ikke passwords i klartekst (den slår linien i /etc/password
> op og sender dén) men så er det stort set også sagt. ...

Ok.

> Administrativt er det dejligt nemt, men det er kun godt i miljøer hvor
> du stoler på alle brugerne.

Det, der irriterer mig mest, er, at det efterhånden er blevet helt
nemt at have et sikkert setup. SSH plus en firewall og man er rimeligt
godt kørende. Men så kommer NIS og ødelægger det hele.

Hvad med sikkerhedsfreaksene fra OpenBSD. Hvad bruger de ?

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> Det, der irriterer mig mest, er, at det efterhånden er blevet helt
> nemt at have et sikkert setup. SSH plus en firewall og man er rimeligt
> godt kørende. Men så kommer NIS og ødelægger det hele.

NIS er fra de gode gamle dage, hvor folk ikke var onde og væmmelige og
gjorde ting som root ikke ville have.

> Hvad med sikkerhedsfreaksene fra OpenBSD. Hvad bruger de ?

Aner det ikke. Alex?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjoern Ravn Andersen wrote:

> NIS er fra de gode gamle dage, hvor folk ikke var onde og væmmelige og
> gjorde ting som root ikke ville have.

Ja de dage er godt nok definitivt forbi... bare synd, at det ikke er
alle, der har opdaget det endnu.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Det, der irriterer mig mest, er, at det efterhånden er blevet helt
> nemt at have et sikkert setup. SSH plus en firewall og man er rimeligt
> godt kørende. Men så kommer NIS og ødelægger det hele.
>
> Hvad med sikkerhedsfreaksene fra OpenBSD. Hvad bruger de ?

Mener du udviklerne? OpenBSD har suppoet for baade NIS og Kerberos, men
det virker ikke til at noget af det bliver brugt af udviklerne.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

>> Hvad med sikkerhedsfreaksene fra OpenBSD. Hvad bruger de ?
>
> Mener du udviklerne? ...

Ja.

> OpenBSD har suppoet for baade NIS og Kerberos, men det virker ikke
> til at noget af det bliver brugt af udviklerne.

Det siger jo noget om, hvor meget sikkerheden er værd. Selv om OpenBSD
udviklerne for det meste er nogle fanatikere, er de gode at have som
pejlemærker.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Alex Holst wrote:
>> OpenBSD har suppoet for baade NIS og Kerberos, men det virker ikke
>> til at noget af det bliver brugt af udviklerne.
>
> Det siger jo noget om, hvor meget sikkerheden er værd. Selv om OpenBSD
> udviklerne for det meste er nogle fanatikere, er de gode at have som
> pejlemærker.

Ja, det er rart at vide hvornaar man selv er blevet en lille hobby
fanatiker. :)

Det har noget med behov at goere. At bruge f.eks. Kerberos kraever at
man afsaetter to maskiner til at lege KDC master og slave, og det er
maskiner der kan bruges til andet. Kerberos implementationen i OpenBSD
hedder Heimdal og den er stadigt mangelfuld, selvom man kan faa den til
at virke hvis man ved hvad man laver.

Desuden goer disse fantatikere ting som jeg f.eks. ikke ville goere,
blandt andet tillader cvs.openbsd.org password logins.

priceless$ ssh foo@cvs.openbsd.org
foo@cvs.openbsd.org's password:

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Claus Rasmussen <clr@cc-consult.dk> wrote:
>>
>> Det siger jo noget om, hvor meget sikkerheden er værd. Selv om OpenBSD
>> udviklerne for det meste er nogle fanatikere, er de gode at have som
>> pejlemærker.
>
> Ja, det er rart at vide hvornaar man selv er blevet en lille hobby
> fanatiker. :)

Årh lad bare vær'. Du er sikkert ligefrem stolt over det


> Desuden goer disse fantatikere ting som jeg f.eks. ikke ville goere,
> blandt andet tillader cvs.openbsd.org password logins.

Er du sikker på, at den ikke bare prompter dig for bagefter at give
dig en lang næse ? Jeg havde i hvert fald en fejl i min ssh opsætning
på et tidspunkt, der gjorde det samme.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Alex Holst wrote:
>> Desuden goer disse fantatikere ting som jeg f.eks. ikke ville goere,
>> blandt andet tillader cvs.openbsd.org password logins.
>
> Er du sikker på, at den ikke bare prompter dig for bagefter at give
> dig en lang næse ? Jeg havde i hvert fald en fejl i min ssh opsætning
> på et tidspunkt, der gjorde det samme.

Havde du glemt at compile sshd med PAM support? :)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

>> Er du sikker på, at den ikke bare prompter dig for bagefter at give
>> dig en lang næse ? Jeg havde i hvert fald en fejl i min ssh opsætning
>> på et tidspunkt, der gjorde det samme.
>
> Havde du glemt at compile sshd med PAM support? :)

Tror det var noget i den retning. Men hvad er det man siger: "Its not
a bug - its a feature"

-Claus

---

Claus Rasmussen wrote:
>
> Men hvad med sikkerheden ? Så vidt jeg kan læse mig frem til er
> NIS et gabende hul i den retning. Jeg bruger normalt ssh til at
> logge ind remote, men vil NIS sende mine passwords i klartekst
> over nettet alligevel ?

Kommunikationen mellem NIS-client og NIS-server sker ukrypteret.



--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic