High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Comment sécuriser plusieurs serveur sous NIS

Dernière réponse le 29 jun 2007 à 13:15:33 ric22, le 27 jun 2007 à 17:12:40 
 Signaler ce message aux modérateurs

Bonjour,

J'ai un soucis de sécurité et je suis à cours d'idée :(
Nous avons un serveur principal sous solaris 9 qui fait office de serveur NIS et de serveur de fichiers pour les utilisateurs (/home/<user> exporté en NFS vers les autres serveurs). Mot de passe root inconnu des utilisateurs. Ainsi les utilisateurs peuvent se connecter sur n'importe quel serveur unix client NIS et retrouver leur environnement habituel.

Par contre, nous avons 3 serveurs linux (client NIS et /home du solaris monté en NFS) servant de test et dev. Les utilisateurs peuvent se connecter directement sous leur comptes grace à NIS/NFS, mais ils connaissent aussi le pwd root de ces 3 serveurs (obligé cause tests d'install)...

S' ils se connectent en root local des serveurs test, ils ne peuvent acceder aux repertoires /home exporté, mais rien ne les empeche de faire un "su <utilisateur NIS>" pour se retrouver dans le repertoire de l'utilisateur avec tous ses droits :( !

le fait que le pwd root soit different entre le serveur maitre NIS et les clients n'y change rien. A partir du moment ou qqn à le pwd root d'un serveur client, il peut acceder à toutes les données utilisateurs !

Je ne sais comment remedier à ceci... Si quelqu'un à la solution (differencier le root des serveurs de test et celui du serveur principal ?), il est le bienvenu !

Merci en tout cas...

Configuration: Windows XP
Internet Explorer 6.0

Meilleures réponses pour « Comment sécuriser plusieurs serveur sous NIS » dans :
Installer un serveur FTP sous Windows VoirVersion rapide Version un peu moins rapide (mais plus propre) Version serveur propre Liens Pour aller plus loin : Accédez à votre serveur FTP n'importe où dans le monde Notes Version rapide VITE, JE VEUX INSTALLER UN SERVEUR FTP TOUT...
Installer un serveur ssh sous Ubuntu VoirUn serveur ssh vous permet d'accéder à distance à votre machine. Vous aurez ainsi accès à la console distante (équivalente à telnet, mais sécurisée) et au transfer de fichiers (équivalent à FTP, mais sécurité également). Installation On ne peut...
[IE] Impossible d'accéder aux sites sécurisés (HTTPS/SSL) Voir
DMZ (Zone démilitarisée) VoirNotion de cloisonnement Les sytèmes pare-feu (firewall) permettent de définir des règles d'accès entre deux réseaux. Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des politiques de sécurité différentes....
Attaques de serveurs web VoirVulnérabilité des services web Les premières attaques réseau exploitaient des vulnérabilités liées à l'implémentation des protocoles de la suite TCP/IP. Avec la correction progressive de ces vulnérabilités les attaques se sont décalées vers les...
Serveurs proxy (serveurs mandataires) et reverse proxy VoirProxy Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction d'intermédiaire entre les ordinateurs d'un réseau local (utilisant parfois des protocoles autres que le...
Posez votre question Répondre

1

dubcek, le 28 jun 2007 à 14:15:54

Pour avoir connu à peu près le même cas, à mon avis pas beaucoup de solutions, root == tout le pouvoir.
- séparer les machines Linux du réseau NIS
- limiter l'export Solaris NFS et placer les uilisateurs Linux sur les Linux
- utiliser des outils qui ne donnent les droits root que pour certaines commandes comme RBAC, sudo
- séparer les données utilisateurs Linux sur les serveur Solaris sur 2 volumes et changer les règles d'export

   
Répondre à dubcek

2

ric22, le 28 jun 2007 à 15:24:30

Merci pour la réponse ! J'etais malheureusement arrivé à a peu pres cette conclusion :(

En fait je vais shooter la commande "SU' sur les serveurs test. Ainsi, les utilisateurs se logeront soit avec leur login/pwd (no pb), soit directement en root, mais dans ce cas ils ne pourront plus faire un SU <utilisateur>. Il faudra qu'ils se deconnectent -> demande de pwd...

C'est un peu plus lourd pour eux mais faut faire un choix !

   
Répondre à ric22

3

dubcek, le 28 jun 2007 à 15:48:13

Effectivement, mais comme root il peuvent en récupérer une ailleurs, faire un prog. C ou un script en SUID ... . Créer un .rhost chez l'utilisateur et faire un rlogin, faire passwd pour changer le mot de passe d'un utilisateur, etc, etc
Sinon sudo qui permet de limiter les commandes exécutables en tant que root.

chez nous, la solution avait été PAS DE ROOT

faire un mini su c'est aussi simple que
echo /bin/ksh > zzz
chown user zzz
chmod 4700 zzz
./zzz
ici, je suis user, pas root

   
Répondre à dubcek

4

 ric22, le 29 jun 2007 à 08:53:08

Oui, j'imagine que ce n'est pas dur de contourner le shootage du SU, mais c'est juste pour éviter de tenter les utilisateurs (trop rapide de faire un su <login> ).

Apres la majorité sont des ingés en info qui n'auraient aucun mal à acceder à certaines données si ils se donnait un peu de temps pour le faire, mais dans ce cas ce serait une volonté délibéré d'acceder à des données non permises. (et ils ne s'en sortiraient pas avec un "oops, je me suis trompé dans mon 'su').

C'est une démarche plus pour responsibiliser les users que mettre les datas dans un coffre fort...

   
Répondre à ric22
Posez votre question Répondre
Ils ont besoin de votre aide