© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
[etwas NFS-Paranoia]
> Oder habe ich da was ganz grob übersehen?
die Frage ist halt, was Du machen willst. Du wirst bei keinem System
verhindern, das jemand mit einer gefälschten UID Scheiße baut. Es ist halt
die Frage, wie sehr man absichern will/muß.
Was NFS dringend fehlt, ist ein besserer Default. Nicht nur root==nobody,
sondern auch read-only. Damit ist schon mal vieles besser. Ein Server-FS
mit Programmen exportiert man nicht read-write (spart außerdem auch über
50% Traffic).
Wenn Du statt NIS dann K5 nutzt, sollte sich das Problem mit den gefakten
UIDs erledigt haben, WENN (wichtig) es eine Zusammenarbeit zwischen NFS und
K5 gibt. Wenn Du die nicht hast, kannst Du Dich auf Kopf stellen und mit
den Beinen schlackern, dann kann jemand das System mißbrauchen.
Aber was sollte denn die Alternative sein? Man kann für jedes System Fälle
konstruieren, in denen ein lokaler Root das System mißbrauchen kann. Gerade
bei Open-Source-Systemen (vi login.c passwd.c), aber auch bei kommerziellen
Unixen. Aber damit bist Du endgültig bei den Probleme der Schichten 8
(religious) und 9 (political) des OSI-Schichtenmodells. Wenn man den
Betreibern der anderer Rechner nicht traut/trauen kann, sollte man nicht
mit deren Rechnern in einem LAN sein.
/s/Udo
--
Q: How do you play religious roulette?
A: You stand around in a circle and blaspheme and see who gets struck
by lightning first.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 05 Jan 2001 - 15:15:20 CET