Le lun 28/10/2002 � 03:48, Aur�lien Le Provost a �crit : > > Qu'insinue-tu en disant "ypcat passwd marche" ? > > Que le binaire en question soit accessible � l'utilisateur, oui. > > Qu'il affiche la liste des utilisateurs sans les mots de passe, oui. > > Qu'il le fasse avec, c'est que tu as mal configur� le support shadow. > > Il y a les mots de passe. Le probl�me se situe sur le serveur ? Il y a > pourtant les mots de passe shadow d'activ� ?
Bien. Pour couper court � toutes ces remarques, et attendu que mes souvenirs de NIS dataient un peu, j'ai install� rapidemment le paquet debian nis afin d'�tayer mes affirmations. Soit arioch, le serveur NIS et mabelrode, un client NIS... La premi�re est une sid et la seconde, une sarge. J'ai suivi ce fichier pour installer nis selon la m�thode debain: /usr/share/doc/nis/nis.debian.howto.gz Conform�ment � ce document, j'ai mis � jour et v�rifi� les fichiers suivants sur arioch: /etc/default/nis: ... # Are we a NIS server and if so what kind (values: false, slave, master) NISSERVER=master ... /etc/ypserv.securenets: ... # Allow access for localnet 255.255.255.0 10.0.0.0 ... /etc/ypserv.conf: rien � redire. /etc/networks: localnet 10.0.0.0 Puis, j'ai ex�cut� la commande suivante toujours en suivant le document: /usr/lib/yp/ypinit -m NB: J'ai �galemment touch� au fichier /var/yp/Makefile afin de diminuer les valeurs minimales des uid et gid afin d'inclure mon utilisateur. Par d�faut, c'est 1000:1000, je l'ai donc ainsi r�duit � 500:100. Notez qu'il n'est pas utile de relancer le serveur ypserv � chaque mise � jour: j'aurais pu dire de lancer le serveur bien avant la cr�ation de la base: /etc/init.d/nis start Starting NIS services: ypserv yppasswdd ypxfrd ypbind ... A pr�sent, j'installes un client nis sur mabelrode. Nul besoin est de modifier quoique ce soit, par d�faut le paquet nis est valide pour un client. Il ne d�marre d'ailleurs qu'ypbind. Passons aux choses s�rieuses: [EMAIL PROTECTED] 23:19:39 surcouf]$ ypcat passwd nobody:x:65534:65534:nobody:/home:/bin/sh surcouf:x:500:100:Rapha�l Bordet,,,:/home/nfs/surcouf:/bin/bash J'ai bien la liste: le serveur tourne et distribue la base. [EMAIL PROTECTED] 23:19:43 surcouf]$ ypcat shadow.byname [EMAIL PROTECTED] 23:31:58 surcouf]$ Si j'essaie d'acc�der � cette "carte" (map), je n'y parviens pas. A l'�poque o� je m'en servais, on obtenais la liste mais sans le mot de passe. Le support actuel va apparement encore plus loin supprimant la liste inutile... M�mes tests en root: [EMAIL PROTECTED] 23:14:51 /var/www/theseb.prout.be]# ypcat passwd nobody:x:65534:65534:nobody:/home:/bin/sh surcouf:x:500:100:Rapha�l Bordet,,,:/home/nfs/surcouf:/bin/bash C'est normal. [EMAIL PROTECTED] 23:19:24 /var/www/theseb.prout.be]# ypcat shadow.byname nobody:*:11515:0:99999:7::: surcouf:<un long et encod� mot de passe>:11978:0:99999:7::: L� aussi, c'est normal: seul le super-utilisateur du poste client a acc�s � la carte en question ! D'o� l'int�r�t de supprimer les suid inutiles, voire pr�f�rer un acc�s root par ssh plut�t que par su... Voil�: une belle d�monstration vaut mieux qu'un long discours parfois... J'esp�re que vous comprenez maintenant mon insistance sur le sujet. -- Rapha�l Bordet [EMAIL PROTECTED]
