Re: NIS/NFS Ersatz

From: Andreas Braukmann <braukmann(at)tse-online.de>
Date: Fri, 5 Jan 2001 13:44:08 +0100

Hi,

On Fri, Jan 05, 2001 at 12:58:23PM +0100, Clemens Hermann wrote:
> prinzipiell jeder ins Netzwerk einklinken kann und dann mit Rootrechten
> am lokalen Rechner (die kann er sich ja leicht selber eintragen) jedes
> exportierte Filesystem vom Server mounten und (!) lesen/verändern kann,
> sofern es irgendwo im Netzwerk einen user gibt, der diese Berechtigung
> hat.
> Oder habe ich da was ganz grob übersehen?

ja. In diese Todesfalle begibt sich nur derjenige, der
wahnwitzigerweise seine Dateisysteme mit "-maproot=0"
exportiert.
Standardmaessig werden Zugriffe eines entfernten Benutzers
mit der uid 0 auf ein exportiertes Dateisystem natuerlich
nicht mit einer lokalen uid 0 ausgefuehrt.

Siehe dazu auch exports(5):

[...]
        In the absence of -maproot and -mapall options, remote
        accesses by root will result in using a credential of -2:-2.
        All other users will be mapped to their remote credential.
        If a -maproot option is given, remote access by root will
        be mapped to that credential instead of -2:-2. If a -mapall
        option is given, all users (including root) will be mapped
        to that credential in place of their own.
[...]

-Andreas

-- 
: Anti-Spam Petition:     http://www.politik-digital.de/spam/          :
: PGP-Key:                http://www.tse-online.de/~ab/public-key      :
: Key fingerprint:  12 13 EF BC 22 DD F4 B6  3C 25 C9 06 DC D3 45 9B   :
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 05 Jan 2001 - 13:42:27 CET

search this site