NIS安全-设置securenets限制可访问NIS的网段
如果不设置securenets文件,那么在master server毫不知情的情况下,任何机器都可以加入到NIS中成为client,,这样就会存在安全隐患。建议在设置了securenets文件后再开启NIS服务。
securenets文件所在的目录为/var/yp,默认是没有该文件的,手动创建一个:
#touch /var/yp/securenets
如果NIS中配置了slave server,那么在slave server上也同样需要设置securenets文件,否则client可以从slave server上访问NIS内容。
编辑内容,格式有两种:
1)指定子网,针对一个网段进行限制,第一列是子网掩码,第二列是网络号,例如:
255.255.255.0 192.168.0.0
这样设置后,网段192.168.0.1-192.168.0.255中,所有的IP都可以访问和使用该NIS服务。
2)指定IP地址,针对每台机器进行限制,第一列写host,第二列是指定的IP地址,例如:
host 192.168.0.11
这种方法是单独指定IP为192.168.0.11的这台机器可访问和使用该NIS服务。如果使用第一种方法时,将子网掩码写成255.255.255.255,网络号写成IP地址192.168.0.11,效果与这种方法相同。
注意:因为master server本身要允许访问和使用NIS,所以securenets文件中一定要包含master server的IP地址。在Solaris中,man securenets文档说设置为“host 127.0.0.1”,但我测试过程中发现这样设置并不行,还是需要把IP设置为网卡的IP才可以。
设置完securenets后,重启NIS服务:
# /usr/lib/netsvc/yp/ypstop
# /usr/lib/netsvc/yp/ypstart
此后,如果机器的IP地址不在securenets文件所指定的列表中,将无法再访问NIS中的信息,虽然配置NIS client的过程不会有任何提示,但是配置完后在client上执行ypcat看不到任何NIS的内容,也不能使用NIS中的账户。如果配完client后reboot了,在启动过程中,则会提示“WARNING: Timed out waiting for NIS to come up”。并且在尝试访问NIS服务时,master server上会有提示,dmesg可以看到哪个IP在尝试非法访问。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/80598/showart_1952750.html 非常好,正需要的,谢谢!
页:
[1]