Re: Groupes NIS vs groupes locaux et =?ISO-8859-1?Q?s=E9curit=E9?=

Laurent Oliva Tue, 01 Mar 2005 06:23:29 -0800

Le mardi 01 mars 2005 ï¿½ 14:37 +0100, Vincent Lefevre a ï¿½crit :
> On 2005-03-01 13:35:10 +0100, Laurent Oliva wrote:
> > En effet, ceci peut poser des problï¿½mes de sï¿½curitï¿½ assez graves...
> > 
> > Pourquoi ne mets tu pas "compat" ï¿½ la place de "files" ?
> 
> J'avais copiï¿½ ce qui avait ï¿½tï¿½ fait sur les machines gï¿½rï¿½s par
> les administrateurs systï¿½me, mais ï¿½a date...
> 
> Quelle est la diffï¿½rence entre "compat" et "files"?


D'aprï¿½s le man de nsswitch.conf:

Pour  la  bibliothï¿½que  libc5 avec NYS, les spï¿½cifications possibles
pour le service sont `files', `nis' et `nisplus'.  Pour les
       noms d'hï¿½tes, vous pouvez ajouter un service supplï¿½mentaire
`dns', et pour les mots de passe et les groupes (mais  pas  pour  la
       base de donnï¿½es shadow) vous pouvez employer le service `compat'.

       La  bibliothï¿½que  C GNU nï¿½cessite un fichier
appelï¿½ /lib/libnss_SERVICE.so.X pour chaque SERVICE utilisï¿½.  Avec une
installation
       standard, vous pouvez utiliser `files', `db', `nis' et `nisplus'.
Pour les noms d'hï¿½tes, vous pouvez indiquer `dns' comme  ser-
       vice supplï¿½mentaire. Les mots de passe, les groupes et la base de
donnï¿½es shadow acceptent le service `compat'.  Ces services ne
       sont pas utilisï¿½s par la libC5 avec NYS. Le numï¿½ro de version X
est 1 pour la GlibC 2.0 et 2 pour la GlibC 2.1.

> 
> > Est-ce que le comportement est le mï¿½me ?
> 
> J'ai essayï¿½ compat ï¿½ la place de files, puis /etc/init.d/nis restart,
> puis je me suis reloggï¿½. Aucun changement dans le comportement: id
> renvoie la mï¿½me chose, et idem pour mon test du chown dans le rapport
> de bug.

Alors dans ce cas, je vois pas beaucoup de solution, je n'en vois
qu'une :-d

-- Tu ajoutes ce groupe local dans ton nis en prennant soin de ne pas
mettre le mï¿½me GID q'un autre groupe faisant partie de NIS.

-- Tu retires ce groupes local de ta machine.

Mais le problï¿½me risque de revenir, donc dans ce cas, il te reste comme
solution de centraliser tous les groupes sur le NIS, et ensuite tu
spï¿½cifie uniquement le NIS dans le nsswitch.conf, comme ï¿½a plus de
problï¿½mes ;-)



-- 
--

Laurent Oliva

CNRS BEST - DSI Meudon 

01-45-07-52-90



-- 
Pensez ï¿½ lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez ï¿½ rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Groupes NIS vs groupes locaux et =?ISO-8859-1?Q?s=E9curit=E9?=

Répondre à