NIS安全-设置securenets限制可访问NIS的网段

geriwolf

    如果不设置securenets文件，那么在master server毫不知情的情况下，任何机器都可以加入到NIS中成为client，，这样就会存在安全隐患。建议在设置了securenets文件后再开启NIS服务。
    securenets文件所在的目录为/var/yp，默认是没有该文件的，手动创建一个：
    #  touch /var/yp/securenets
    如果NIS中配置了slave server，那么在slave server上也同样需要设置securenets文件，否则client可以从slave server上访问NIS内容。
    编辑内容，格式有两种：
1）指定子网，针对一个网段进行限制，第一列是子网掩码，第二列是网络号，例如：
    255.255.255.0 192.168.0.0
    这样设置后，网段192.168.0.1-192.168.0.255中，所有的IP都可以访问和使用该NIS服务。
2）指定IP地址，针对每台机器进行限制，第一列写host，第二列是指定的IP地址，例如：
    host 192.168.0.11
    这种方法是单独指定IP为192.168.0.11的这台机器可访问和使用该NIS服务。如果使用第一种方法时，将子网掩码写成255.255.255.255，网络号写成IP地址192.168.0.11，效果与这种方法相同。
    注意：因为master server本身要允许访问和使用NIS，所以securenets文件中一定要包含master server的IP地址。在Solaris中，man securenets文档说设置为“host 127.0.0.1”，但我测试过程中发现这样设置并不行，还是需要把IP设置为网卡的IP才可以。
    设置完securenets后，重启NIS服务：
    # /usr/lib/netsvc/yp/ypstop
    # /usr/lib/netsvc/yp/ypstart
    此后，如果机器的IP地址不在securenets文件所指定的列表中，将无法再访问NIS中的信息，虽然配置NIS client的过程不会有任何提示，但是配置完后在client上执行ypcat看不到任何NIS的内容，也不能使用NIS中的账户。如果配完client后reboot了，在启动过程中，则会提示“WARNING: Timed out waiting for NIS to come up”。并且在尝试访问NIS服务时，master server上会有提示，dmesg可以看到哪个IP在尝试非法访问。



本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/80598/showart_1952750.html

shot

非常好，正需要的，谢谢！