Re: Partage NFS d'un ZIP
On Thursday 30 January 2003 14:55, Jean-Bruno Luginbühl wrote: Encore une question sur NFS, quelqu'un installant une machine sur un réseau, machine avec laquelle il a évidemment les droits root, peut en usurpant simplement l'UID de quelqu'un accéder à ces fichiers. Y-a-t-il un moyen plus efficace de protéger un partage NFS? Normalement NFS est utilisé en combinaison avec NIS (Yellow Pages) chargé de gérer les UID des utilisateurs entre les systèmes. Je crois que NIS a encore plein de trous de sécurité... le UID zéro peut-être automatiquement mappé sur nobody par la config NFS, mais il y a sans doute plein de manières de tromper NFS qui pas un logiciel exemplaire au niveau de la sécurité... loin s'en faut ! Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Partage NFS d'un ZIP
On Thu, Jan 30, 2003 at 02:55:08PM +0100, Jean-Bruno Luginbühl wrote: Je désire partager un lecteur ZIP entre plusieurs postes Linux, et je voulais à cet effet utiliser la commande mount sur le poste client (insertion d'une ligne dans fstab). Seulement je me dis qu'il faudra D'après ce que j'ai compris, virtualfs est un système de fichier -- implémenté par interception d'appels de bibliothèques -- qui a été conçu justement pour ce genre de problèmes. Encore une question sur NFS, quelqu'un installant une machine sur un réseau, machine avec laquelle il a évidemment les droits root, peut en usurpant simplement l'UID de quelqu'un accéder à ces fichiers. Y-a-t-il un moyen plus efficace de protéger un partage NFS? NFS seul ne peut rien y faire. En théorie, on peut faire de l'authentification Kerberos avec NFS: c'est assez complexe mais relativement sûr (le logiciel étant complexe ...). Je regarderais donc deux fois virtualfs. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Partage NFS d'un ZIP
Le jeu 30/01/2003 à 15:07, Marc SCHAEFER a écrit : Je regarderais donc deux fois virtualfs. Merci je vais regarder dans cette direction Jean-Bruno -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Partage NFS d'un ZIP
On Thu, Jan 30, 2003 at 03:19:13PM +0100, Daniel Cordey wrote: Normalement NFS est utilisé en combinaison avec NIS (Yellow Pages) chargé de NIS est encore plus dangereux que NFS seul. Eventuellement NIS+ (qui sauf erreur est resté propriétaire à Sun), voire mieux Kerberos, pour la partie authentification. D'après ce que j'ai compris, il faudrait aussi regarder dans la direction d'AFS, que IBM a ouvert récemment (openafs sous Debian). Coda est aussi avancé et peut-être bien également du point de vue sécurité. Enfin, CIFS (successeur de SMB) est peut-être intéressant vu qu'il se POSIXise. plein de trous de sécurité... le UID zéro peut-être automatiquement mappé sur nobody par la config NFS, mais il y a sans doute plein de manières de tromper NFS qui pas un logiciel exemplaire au niveau de la sécurité... loin s'en faut ! # su - schaefer et hop, tu as accès à tous les fichiers de schaefer. Ce qui ne permet pas de pirater root (no_root_squash), mais ... d'ailleurs dans les anciens systèmes UNIX les binaires appartenaient à bin ... A l'EPFL ils avaient ajouté au serveur NFS une couche propriétaire qui pouvait limiter les UIDs et GID par adresse IP. Mais bon, tout cela n'aide pas vraiment. NFS a été conçu pour un monde où les utilisateurs ne seraient pas super-user, et cela a été invalidé le jour où l'on a connecté le premier Mac ou PC au réseau. (la première version de NFS n'avait même pas de checksum sur ses packets UDP pour aller plus vite: sur les réseaux SLIP cela posait des problèmes d'intégrité de données (pas de CRC/ECC/checksum dans SLIP au contraire d'Ethernet)). -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Partage NFS d'un ZIP
On Thursday 30 January 2003 16:08, Marc SCHAEFER wrote: D'après ce que j'ai compris, il faudrait aussi regarder dans la direction d'AFS, que IBM a ouvert récemment (openafs sous Debian). Ce qui me fait rire, c'est qu'AFS est un vieux projet qui a démaré dans une université (carnegie mellon ?) sous la houlette d'IBM... vers 1985-86... a l'époque, on savait déjà que c'était meilleur que NFS... NFS a toujours privilégié la sois-disant perfomance au détriment de la sécurité et de la fiabilté. A la même époque, ATT (Bell labs) avait aussi sorti RFS, dont le système de gestion des buffer cache était aussi performant que le HP diskless. Il y a ensuite eu le DCE qui introduît Kerberos... mais, malgré l'exellence de toutes ces solutions, NFS a finalement réussi à s'imposer... exactement (avec les mêmes tares) comme un certain OS que je ne nommerai pas :-( Je suis donc heureux si une alternative arrivait à nous débarasser de NFS :-) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Partage NFS d'un ZIP
On Thu, Jan 30, 2003 at 05:07:54PM +0100, Daniel Cordey wrote: Ce qui me fait rire, c'est qu'AFS est un vieux projet qui a démaré dans une université (carnegie mellon ?) sous la houlette d'IBM... vers 1985-86... a Juste (un peu plus tard me semble-t-il). Je suis donc heureux si une alternative arrivait à nous débarasser de NFS :-) moi aussi. PS: NFS était quand même la seule alternative documentée et libre. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Partage NFS d'un ZIP
On Thursday 30 January 2003 19:02, Marc SCHAEFER wrote: Juste (un peu plus tard me semble-t-il). Comme j'ai assisté à uen présentation lors de USENIX à Dallas en janvier 1988, j'en déduit que le projet devait avoir ~2 ans... PS: NFS était quand même la seule alternative documentée et libre. A la sauce SUN... presque comme ce que propose M* aujourd'hui. Tu avais le droit de faire des propositions et de reporter les bugs... sans garantie de quoi que se soit ! Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
