Montage "nfs" et sécurité

roger12 · 18/09/2006, 14h06

Bonjour à tous,

je suis novice dans ce qui touche aux réseaux et plus particulièrement à la sécurité.
J'ai besoin de vos lumières.
J'ai monté un réseau avec un serveur et des machines "clientes".

L'authentification se fait par NIS et le montage des fichiers par NFS.

Voici une remarque que m'a fait un collègue par mail à propos du montage NFS une fois l'htentification ok:

"Le répertoire "/home" est monté via nfs sans aucune sécurité. Il suffit de deux lignes de commande pour que n'importe qui puisse accéder aux fichiers des étudiants et en faire ce que bon lui semble."

1) Comment puis-je sécuriser cela?
2) Je ne vois pas bien comment via les deux lignes de commande, qqun pourrait accéder à des fichiers autres que les siens...

Si des personnes expérimentées pouvaient m'aider, je lui en serait reconnaissant.

Stéphane.

granquet · 18/09/2006, 18h41

c'est assez survolé, mais ça devrais repondre a pas mal de tes questions: http://nfs.sourceforge.net/nfs-howto/ar01s06.html

MarcG · 20/09/2006, 11h20

La moindre des choses de la part de ton "collegue" serait qu'il te communique ces fameuses "2 lignes de commandes" . Ou alors il n'est pas vraiment un collégue ......

toto019 · 20/09/2006, 21h17

Bah en fait, tout dépend de la version de NFS.

Si c'est la version 3, oui, il y a faille. C'est pas au niveau des démons NFS, mais plutôt au niveau de la conception du programme. En fait, NFS gère seulement les UID utilisateur et groupe en local sur le serveur. Pour faire simple, si ta machine cliente monte un partage NFS d'un serveur distant, et que tu as le mot de passe root (ou passer par un setuid bit) de ta machine cliente (ce qui peut être le cas), et bien bam c'est terminé... soit t'accèdes directement à tous les fichiers du partage NFS (si non protégé via le param root_squash je crois, et si la conf de l'import NFS est mauvaise), soit tu joues à changer à créer des utilisateurs locaux avec les mêmes UID que ceux du serveur distant.

Exemple: Sur le serveur NFS, titi a comme UID 10000 et toto a comme UID 10001. Une machine cliente monte le partage NFS /home distant et l'utilisateur connecté en tant que titi accède à ses fichiers. Si il a le mdp root, il se loggue et créer un user truc avec l'uid 10001 en local, et il peut accéder au fichier de toto...

Dans la version 4, qui est sorti récemment, c'est corrigé normalement.

18/09/2006, 14h06	#1
roger12 Futur Membre du Club Inscription : novembre 2002 Messages : 88 Détails du profil Informations forums : Inscription : novembre 2002 Messages : 88 Points : 18 Points : 18	Montage "nfs" et sécurité Bonjour à tous, je suis novice dans ce qui touche aux réseaux et plus particulièrement à la sécurité. J'ai besoin de vos lumières. J'ai monté un réseau avec un serveur et des machines "clientes". L'authentification se fait par NIS et le montage des fichiers par NFS. Voici une remarque que m'a fait un collègue par mail à propos du montage NFS une fois l'htentification ok: "Le répertoire "/home" est monté via nfs sans aucune sécurité. Il suffit de deux lignes de commande pour que n'importe qui puisse accéder aux fichiers des étudiants et en faire ce que bon lui semble." 1) Comment puis-je sécuriser cela? 2) Je ne vois pas bien comment via les deux lignes de commande, qqun pourrait accéder à des fichiers autres que les siens... Si des personnes expérimentées pouvaient m'aider, je lui en serait reconnaissant. Stéphane.
	00

18/09/2006, 18h41	#2
granquet Membre Expert Étudiant Inscription : octobre 2005 Messages : 1 202 Détails du profil Informations personnelles : Localisation : France, Pyrénées Orientales (Languedoc Roussillon) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : octobre 2005 Messages : 1 202 Points : 1 181 Points : 1 181	c'est assez survolé, mais ça devrais repondre a pas mal de tes questions: http://nfs.sourceforge.net/nfs-howto/ar01s06.html __________________ click my www ............\|___ ...................\ .................._\|_ ..................\ / ..................."
	00

20/09/2006, 11h20	#3
MarcG Rédacteur Inscription : mars 2004 Messages : 1 298 Détails du profil Informations forums : Inscription : mars 2004 Messages : 1 298 Points : 1 450 Points : 1 450	La moindre des choses de la part de ton "collegue" serait qu'il te communique ces fameuses "2 lignes de commandes" . Ou alors il n'est pas vraiment un collégue ...... __________________ Marc Slackware for ever ...... BASH - KSH ( http://marcg.developpez.com/ksh/ )
	00

20/09/2006, 21h17	#4
toto019 Membre du Club Inscription : juillet 2006 Messages : 58 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 58 Points : 40 Points : 40	Bah en fait, tout dépend de la version de NFS. Si c'est la version 3, oui, il y a faille. C'est pas au niveau des démons NFS, mais plutôt au niveau de la conception du programme. En fait, NFS gère seulement les UID utilisateur et groupe en local sur le serveur. Pour faire simple, si ta machine cliente monte un partage NFS d'un serveur distant, et que tu as le mot de passe root (ou passer par un setuid bit) de ta machine cliente (ce qui peut être le cas), et bien bam c'est terminé... soit t'accèdes directement à tous les fichiers du partage NFS (si non protégé via le param root_squash je crois, et si la conf de l'import NFS est mauvaise), soit tu joues à changer à créer des utilisateurs locaux avec les mêmes UID que ceux du serveur distant. Exemple: Sur le serveur NFS, titi a comme UID 10000 et toto a comme UID 10001. Une machine cliente monte le partage NFS /home distant et l'utilisateur connecté en tant que titi accède à ses fichiers. Si il a le mdp root, il se loggue et créer un user truc avec l'uid 10001 en local, et il peut accéder au fichier de toto... Dans la version 4, qui est sorti récemment, c'est corrigé normalement.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email