关于nis应用的一些补充

bugle36

七．        
             补充一[2007-10-23]：  关于nis server的安全隐患及弥补方法
              必须申明，使用nis server作为用户验证服务器，在方便了管理的同时，也带来了许多安全问题。
             A. 默认配置下，任意主机只要知道NIS DOMAIN，就能够将自己配置为yp client，进而获得nis上的信息，若该nis server作为验证服务器，则用户名和加密后的密码都将被yp client所获知。
              **  解决办法:  通过设置防火墙或设置/var/yp/securenets来限制非授权的yp client访问。
         
            B. 任意用户，只要成功登录yp client主机后，就能够通过yp-tools中的命令获得nis上的信息，当然也包括了用于验证的用户名和加密后的密码，然后通过暴力破解获得明文口令。
                         ** 解决办法并没有特别彻底安全的，不过有两条措施可以减轻以上隐患：
                          1） 设置/etc/login.defs，提高密码强度和缩短密码使用期限： 强迫用户定期修改密码。
                          2） 重新设置yp-tools中命令的权限，禁止普通用户执行。

                           最终建议： 若要验证用户，采用ldap server好于nis server.


          补充二[2007-10-23]： 关于/var/yp/securenets设置不当所引发的现象和解决办法
                            /var/yp.sercurenets设置规范如下：
                          #
                          host 127.0.0.1
                         #
                           255.255.255.252 192.168.1.1
                        
                         特别说明：
                        “host 127.0.0.1” 必须在/var/yp/securenets文件中，否则会造成如下影响:
                        A.  客户端执行yppasswd时虽已正确修改密码，并获得正确反馈信息，但是新密码一直没有生效，除非重新启动nis server上的 ypserv 和 yppasswdd服务；
                        B. /var/log/messages中会留下如下信息：   
                       Oct 24 13:56:42 nisserver rpc.yppasswdd[3783]: update test (uid=508) from host 192.168.11 successful.
       Oct 24 13:56:42 nisserver ypserv[3753]: refused connect from 127.0.0.1:1006 to procedure ypproc_clear (,;0)


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/16895/showart_406705.html