On Thu, Jan 30, 2003 at 03:19:13PM +0100, Daniel Cordey wrote: > Normalement NFS est utilisé en combinaison avec NIS (Yellow Pages) chargé de
NIS est encore plus dangereux que NFS seul. Eventuellement NIS+ (qui sauf erreur est resté propriétaire à Sun), voire mieux Kerberos, pour la partie authentification. D'après ce que j'ai compris, il faudrait aussi regarder dans la direction d'AFS, que IBM a ouvert récemment (openafs sous Debian). Coda est aussi avancé et peut-être bien également du point de vue sécurité. Enfin, CIFS (successeur de SMB) est peut-être intéressant vu qu'il se POSIXise. > plein de trous de sécurité... le UID zéro peut-être automatiquement mappé sur > "nobody" par la config NFS, mais il y a sans doute plein de manières de > tromper NFS qui pas un logiciel exemplaire au niveau de la sécurité... loin > s'en faut ! # su - schaefer et hop, tu as accès à tous les fichiers de schaefer. Ce qui ne permet pas de pirater root (no_root_squash), mais ... d'ailleurs dans les anciens systèmes UNIX les binaires appartenaient à bin ... A l'EPFL ils avaient ajouté au serveur NFS une couche propriétaire qui pouvait limiter les UIDs et GID par adresse IP. Mais bon, tout cela n'aide pas vraiment. NFS a été conçu pour un monde où les utilisateurs ne seraient pas super-user, et cela a été invalidé le jour où l'on a connecté le premier Mac ou PC au réseau. (la première version de NFS n'avait même pas de checksum sur ses packets UDP pour aller plus vite: sur les réseaux SLIP cela posait des problèmes d'intégrité de données (pas de CRC/ECC/checksum dans SLIP au contraire d'Ethernet)). -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
