Como garantir que os diretórios home do NIS sejam privados?

1

Eu estou querendo saber quais opções são para usar autenticação centralizada e acesso a diretórios home de usuários de qualquer máquina Linux, mantendo a privacidade dos diretórios home.

Agora estou enfrentando uma configuração do NIS com compartilhamentos NFS, em que qualquer pessoa que tenha acesso root a uma das máquinas pode obter acesso de leitura aos diretórios iniciais de todos os usuários.

Qual configuração impediria que isso acontecesse? Também estou aberto a sugestões que envolvam o AD porque estamos em um ambiente misto.

Requisitos

  • Os usuários devem poder ter acesso root em algumas das máquinas
  • Os usuários não devem conseguir acesso de leitura a outros diretórios pessoais.
por sorin 03.09.2015 / 12:28

2 respostas

2

O NFS permite exportar compartilhamentos com a opção root_squash . Isso mapeia root para o usuário nobody . Isso permite que seus usuários sejam root na máquina local, mas não acessem arquivos nos compartilhamentos como root.

No entanto, se você estiver root em uma máquina local, poderá se passar por outra pessoa (criar um novo usuário com um UID de sua escolha, alterar senhas locais, etc.). Não há como manter alguém assim.

    
por 03.09.2015 / 13:40
0

Aprimore o uso de umask, permissões de arquivo / pasta, possível uso de sudo (privilégios elevados locais por usuário) ou se você quiser usar o AD, uma combinação de módulos PAM que suportam NIS, KRB5 e LDAP

    
por 03.09.2015 / 12:36