Le lun 19/08/2002 � 18:21, Ronan KERYELL a �crit : > >>>>> On 14 Aug 2002 18:47:22 +0200, Rapha�l SurcouF <[EMAIL PROTECTED]> said: > > Rapha�l> Le mer 14/08/2002 � 17:33, Ronan KERYELL a �crit : > >> Comme tout le monde : en exportant � qui veut bien les lire les > >> mots de passe chiffr�s... :-( > >> > >> Du coup c'est s�r que les shadows password perdent de leur > >> s�curit�. > > Rapha�l> La seule faille de s�curit� est la m�me que pour NFS. On > Rapha�l> exportes de telles informations en se basant uniquement sur > Rapha�l> des FQDN. Autrement, le seul utilisateur capable d'acc�der > Rapha�l> aux shadows ainsi export�s est le super-utilisateur de la > Rapha�l> machine cliente. NIS ne remets pas tellement en compte la > Rapha�l> s�curit� apport�e par shadow. Comme tout �l�ment d'un > Rapha�l> r�seau, shadow seul ne suffit pas � apporter de la s�curit�, > Rapha�l> encore faut-il configurer le reste convenablement pour y > Rapha�l> rem�dier. > > Je n'ai pas �t� clair. > > Ce que je veux dire est que comme NIS exporte en clair ses tables il > suffit de regarder ce qui passe sur le r�seau par n'importe quel moyen > pour voir leur contenu. Le plus simple sur une machine cliente �tant de > faire un ypcat passwd pour avoir l'information � mettre dans John The > Ripper par exemple.
Jsutement non. Je ne suis pas d'accord. Si tu n'utilises pas shadow, effectivement, n'importe qui a acc�s aux mots de passe crypt�s. Mais, dans le cas contraire, puisque que l'impl�mentation de NIS, je le r�p�te, sous GNU/Linux supporte le syst�me shadow, seul le root de la machine cliente a acc�s � cette ressource (dans le cadre d'un usage du client ypcat ou autre). Il est toujours vrai par contre, qu'un �ventuel pirate peut �couter le r�seau et saisir ces mots de passe en les interceptant. Maintenant, la manoeuvre est � port�e de beaucoup moins de monde. > Un TP que je fais faire � mes �l�ves pour leur montrer les faiblesses > d'une techno des ann�es 80 quand on l'utilise encore en 2002... > > �videmment avec d'autres approches style NIS+ ou n'importe quelle copie > avec chiffrement (fort) c'est plus s�curis�... En dehors de NIS+, qu'apparement je vais �tre amen� � employer dans le cadre du travail (� moins qu'OpenLDAP ne fasse mon affaire), il existe d'autres m�thodes pour s�curiser son r�seau local. Ces technologies, NIS ou m�me NFS, se base sur le fait que ce r�seau, est un r�seau de confiance, de m�me que IP le fait... Tout est un probl�me du niveau de confiance que tu accordes ou non � tes utilisateurs, ni plus ni moins. -- Rapha�l SurcouF [EMAIL PROTECTED]
