x86, 3.0r1 + Security
Szenario: LAN mit zwei Servern. Auf dem ersten laufen Apache,
MySQL, Samba, NIS-Master-Server, NFS-Server, ntpd, sshd, KDE,
famd. Auf dem zweiten laufen Squid, NIS-Slave-Server, NFS-Client,
ntpd, Exim/fetchmail, sshd, zwanzig IPPP-Devices, KDE, famd.
KDE - kastriert bis auf die Core-Funktionalit�t - ist auf beiden
Servern leider ein Muss - die User sitzen mir im Nacken. Die
Clients im LAN sind u.a. SGI-Maschinen mit IRIX welche NIS und NFS
vom Server 1 benutzen und auch den famd laufen haben - ohne famd
l�uft auf IRIX unter X gar nichts.
Problem: Auf Server 1 frisst der famd die Filehandles auf - ein
"lsof" lieferte 2800 allein durch famd ge�ffnete Dateien. Wenn das
passiert klemmt sich KDE beim Start komplett weg, der famd selbst
meckert herum dass er keine �berwachungsanfragen mehr annehmen
kann, Samba f�ngt an herumzuspinnen. Auf Server 2 sind alle
privilegierten Ports belegt so dass ein normaler User kein "rlogin"
auf eine andere Maschine mehr ausf�hren kann. Grund sind rpc-
Verbindungen (im privilegierten Portbereich!) zum Server 1. Ich
habe letztendlich den famd auf beiden Servern deaktiviert und der
Spuk hatte sofort ein Ende. Jetzt pollen die Clients das NFS-
Filesystem wieder selbst und ziehen eben wieder st�rker �ber den
NFS-Server her, was dieser jedoch locker verkraftet.

Kann es sein dass
1. KDE die Paketabh�ngigkeit auf den famd eher als "recommends" und
nicht als "depends" f�hren sollte und
2. der prinzipiell sinnvolle famd in einem etwas gr�sseren Netz-
werk eine potentielle DoS-Gefahr darstellt, da sich die fam-daemons
der Maschinen selbst miteinander unterhalten und der famd auf dem
NFS-Server mit �berwachungsanfragen von fam-daemons der Clients
zugebombt und dadurch "etwas" wild wird???


Gru�, ab


--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Antwort per Email an