[ Pobierz całość w formacie PDF ]
.Pola puste, nie wy-pe³nione, oznaczaj¹ wykorzystanie informacji dostarczonych przez serwer NIS.S¹ tu jednak dwa powa¿ne zastrze¿enia.Po pierwsze, opisana do tej pory konfigura-cja dzia³a tylko dla logowania, które nie wykorzystuje hase³ shadow.Zawi³oSci ko-rzystania z hase³ shadow w NIS-ie zostan¹ omówione w kolejnym podrozdziale.Podrugie, polecenia logowania nie s¹ jedynymi, które dostaj¹ siê do pliku passwd po-równaj polecenie ls, którego wci¹¿ u¿ywa wiele osób.W pe³nym listingu ls wySwie-tla nazwy symboliczne u¿ytkownika i grupy, którzy s¹ w³aScicielami pliku.To zna-czy, ¿e w przypadku napotkania ka¿dego uid i gid polecenie musi zadaæ zapytaniedo serwera NIS.Zapytanie NIS trwa nieco d³u¿ej, ni¿ równowa¿ne przeszukiwa-nie pliku lokalnego.Mo¿e siê okazaæ, ¿e umieszczenie w NIS-ie informacji z plikówpasswd i group znacznie zmniejsza wydajnoSæ programów, które czêsto korzystaj¹z tych informacji.To jeszcze nie wszystko.Wyobrax sobie, co siê stanie, je¿eli u¿ytkownik zechcezmieniæ has³o.Zwykle wywo³uje on polecenie passwd, które wczytuje nowe has³o iuaktualnia lokalny plik passwd.Jest to niemo¿liwe w przypadku NIS-a, gdy¿ plik niejest nigdzie dostêpny lokalnie, a logowanie siê u¿ytkowników do serwera NIS za ka-¿dym razem, gdy chc¹ oni zmieniæ has³o, nie jest tak¿e dobrym rozwi¹zaniem.Dla-tego NIS udostêpnia zastêpcê passwd polecenie yppasswd, które obs³uguje zmianhas³a w NIS-ie.Aby zmieniæ has³o na serwerze, ³¹czy siê ono przez RPC z demonemyppasswdd na tym serwerze i przekazuje mu aktualne informacje o haSle.Zwykle in-staluje siê yppasswd, zamiast normalnego polecenia passwd, w nastêpuj¹cy sposób:# cd /bin# mv passwd passwd.old# ln yppasswd passwd242 Rozdzia³ 13: System informacji sieciowejW tym samym czasie musisz zainstalowaæ na serwerze program rpc.yppasswdd i uru-chomiæ go ze skryptu sieciowego.Spowoduje to ukrycie przed u¿ytkownikamiwiêkszoSci dzia³añ NIS-a.U¿ywanie NIS-a z obs³ug¹ hase³ shadowKorzystanie z NIS-a w po³¹czeniu z plikami hase³ shadow jest nieco k³opotliwe.Naj-pierw z³e wiadomoSci: NIS podwa¿a sens u¿ywania hase³ shadow.Schemat hase³shadow zosta³ zaprojektowany po to, by zabroniæ u¿ytkownikom nie posiadaj¹cymprawa roota dostêpu do zaszyfrowanej postaci hase³.U¿ywanie NIS-a dowspó³dzielenia danych shadow powoduje koniecznoSæ udostêpnienia zaszyfrowa-nych hase³ osobom, które pods³uchuj¹ odpowiedzi serwera NIS w sieci.Rozwi¹za-nie polegaj¹ce na zmuszaniu ludzi do wyboru dobrych hase³ jest zdecydowanielepsze, ni¿ próba u¿ywania hase³ shadow w Srodowisku NIS.Przyjrzyjmy siê szyb-ko, jak to zrobiæ.W libc5nie ma prawdziwego rozwi¹zania pozwalaj¹cego na wspó³dzielenie danychshadow za pomoc¹ NIS-a.Jedynym sposobem na rozpowszechnianie informacjio u¿ytkownikach i has³ach przez NIS jest u¿ycie standardowych map passwd.*.Je¿elimasz zainstalowane has³a typu shadow, najprostszym sposobem na ich rozsy³aniejest generowanie odpowiedniego pliku passwd na podstawie /etc/shadow za pomoc¹narzêdzi takich, jak pwuncov, i tworzenie map NIS-a na podstawie uzyskanego pli-ku.OczywiScie wymySlono kilka zabiegów, które umo¿liwiaj¹ u¿ywanie hase³ shadowi NIS-a w tym samym czasie, jak na przyk³ad instalacja pliku /etc/shadow na ka¿dymhoScie w sieci i dystrybuowanie informacji o u¿ytkownikach przez NIS-a.Jednak tasztuczka jest naprawdê prymitywna i w zasadzie zaprzecza istocie NIS-a, który mau³atwiaæ administrowanie systemem.Obs³uga NIS-a w bibliotece GNU libc (libc6) uwzglêdnia has³a typu shadow.Nie za-pewnia ¿adnego rozwi¹zania, które udostêpnia³oby has³a, ale upraszcza zarz¹dza-nie has³ami w Srodowiskach, w których chcesz u¿ywaæ i NIS-a, i hase³ shadow.Abyto zrobiæ, musisz stworzyæ bazê danych shadow.byname i dodaæ poni¿szy wiersz doswojego pliku /etc/nsswitch.conf:# Obs³uga hase³ typu shadowshadow: compatJeSli u¿ywasz hase³ shadow wraz z NIS-em, musisz przestrzegaæ pewnej zasadybezpieczeñstwa i ograniczyæ dostêp do bazy danych NIS.Przypomnij sobie podroz-dzia³ Bezpieczeñstwo serwera NIS z tego rozdzia³u.14Sieciowy systemplikówRozdzia³ 14: Sieciowy system plikówSieciowy system plików (Network File System NFS) jest prawdopodobnie najbardziejznan¹ us³ug¹ opart¹ na RPC.Pozwala ona na dostêp do plików znajduj¹cych siê nahoScie zdalnym dok³adnie w taki sam sposób, w jaki masz dostêp do plików lokal-nych.Taki dostêp sta³ siê mo¿liwy dziêki po³¹czeniu procedur obs³ugi w j¹drze i de-monów przestrzeni u¿ytkownika po stronie klienta z serwerem NFS po stronie ser-wera.Jest on zupe³nie przezroczysty dla klienta i dzia³a pomiêdzy ró¿nymi architek-turami serwera i hosta.NFS oferuje szereg przydatnych funkcji:· Dane wykorzystywane przez wszystkich u¿ytkowników mog¹ byæ przechowywa-ne na centralnym hoScie, którego katalogi klienty montuj¹ w czasie uruchamiania.Na przyk³ad mo¿esz przechowywaæ wszystkie konta u¿ytkowników na jednymhoScie, z którego bêdziesz montowaæ katalog /home na wszystkich pozosta³ych.Je-¿eli NFS jest zainstalowany wraz z NIS-em, u¿ytkownicy mog¹ logowaæ siê dodowolnego systemu i wci¹¿ pracowaæ na jednym zestawie plików.· Dane zajmuj¹ce du¿o miejsca na dysku mog¹ byæ przechowywane na jednymhoScie.Na przyk³ad wszystkie pliki i programy zwi¹zane z LaTeX-em i META-FONT-em mog¹ byæ przechowywane i zarz¹dzane w jednym miejscu.· Dane administracyjne mog¹ byæ przechowywane na osobnym hoScie.Nie ma po-trzeby u¿ywania rcp do instalacji tego samego g³upiego pliku na dwudziestu ró¿-nych komputerach.Konfigurowanie podstawowych operacji NFS po stronie klienta i serwera nie jesttrudne.Omawia to ten rozdzia³.NFS dla Linuksa to g³Ã³wnie zas³uga Ricka Sladkeya*, który napisa³ kod NFS-a dlaj¹dra i du¿¹ czêSæ serwera NFS.Ten ostatni zosta³ opracowany na podstawie serwe-* Z Rickiem mo¿esz skontaktowaæ siê pod adresem jrs@world.std.com.244 Rozdzia³ 14: Sieciowy system plikówra unfsd, którego autorem jest Mark Shand, i na podstawie serwera NFS hnfs, napi-sanego przez Donalda Beckera.Przyjrzyjmy siê, jak dzia³a NFS.Najpierw klient próbuje zamontowaæ katalog z ho-sta zdalnego w katalogu lokalnym, tak jakby montowa³ fizyczne urz¹dzenie.Jednaksk³adnia u¿ywana do okreSlenia zdalnego katalogu jest inna.Na przyk³ad, aby za-montowaæ /home z hosta vlager w katalogu /user na hoScie vale, administrator wyda-je nastêpuj¹ce polecenie na hoScie vale*:# mount -t nfs vlager:/home /usersmount podejmie próbê skomunikowania siê przez RPC z demonem rpc.mountddzia³aj¹cym na hoScie vlager.Serwer sprawdzi, czy vale ma prawo zamontowa濹dany katalog.Je¿eli tak, zwróci uchwyt pliku.Ten uchwyt bêdzie u¿ywany wewszystkich kolejnych odwo³aniach do plików w katalogu /users.Gdy ktoS dostaje siê do pliku przez NFS, j¹dro wysy³a wywo³anie RPC do rpc.nfsd(demona NFS) na maszynie serwera.To wywo³anie w parametrach zawiera uchwytpliku, nazwê pliku, do którego siê chcemy dostaæ, i ID u¿ytkownika oraz grupy tego,kto chce siê dostaæ.S¹ one wykorzystywane przy ustalaniu praw dostêpu do zada-nego pliku [ Pobierz caÅ‚ość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl odbijak.htw.pl
.Pola puste, nie wy-pe³nione, oznaczaj¹ wykorzystanie informacji dostarczonych przez serwer NIS.S¹ tu jednak dwa powa¿ne zastrze¿enia.Po pierwsze, opisana do tej pory konfigura-cja dzia³a tylko dla logowania, które nie wykorzystuje hase³ shadow.Zawi³oSci ko-rzystania z hase³ shadow w NIS-ie zostan¹ omówione w kolejnym podrozdziale.Podrugie, polecenia logowania nie s¹ jedynymi, które dostaj¹ siê do pliku passwd po-równaj polecenie ls, którego wci¹¿ u¿ywa wiele osób.W pe³nym listingu ls wySwie-tla nazwy symboliczne u¿ytkownika i grupy, którzy s¹ w³aScicielami pliku.To zna-czy, ¿e w przypadku napotkania ka¿dego uid i gid polecenie musi zadaæ zapytaniedo serwera NIS.Zapytanie NIS trwa nieco d³u¿ej, ni¿ równowa¿ne przeszukiwa-nie pliku lokalnego.Mo¿e siê okazaæ, ¿e umieszczenie w NIS-ie informacji z plikówpasswd i group znacznie zmniejsza wydajnoSæ programów, które czêsto korzystaj¹z tych informacji.To jeszcze nie wszystko.Wyobrax sobie, co siê stanie, je¿eli u¿ytkownik zechcezmieniæ has³o.Zwykle wywo³uje on polecenie passwd, które wczytuje nowe has³o iuaktualnia lokalny plik passwd.Jest to niemo¿liwe w przypadku NIS-a, gdy¿ plik niejest nigdzie dostêpny lokalnie, a logowanie siê u¿ytkowników do serwera NIS za ka-¿dym razem, gdy chc¹ oni zmieniæ has³o, nie jest tak¿e dobrym rozwi¹zaniem.Dla-tego NIS udostêpnia zastêpcê passwd polecenie yppasswd, które obs³uguje zmianhas³a w NIS-ie.Aby zmieniæ has³o na serwerze, ³¹czy siê ono przez RPC z demonemyppasswdd na tym serwerze i przekazuje mu aktualne informacje o haSle.Zwykle in-staluje siê yppasswd, zamiast normalnego polecenia passwd, w nastêpuj¹cy sposób:# cd /bin# mv passwd passwd.old# ln yppasswd passwd242 Rozdzia³ 13: System informacji sieciowejW tym samym czasie musisz zainstalowaæ na serwerze program rpc.yppasswdd i uru-chomiæ go ze skryptu sieciowego.Spowoduje to ukrycie przed u¿ytkownikamiwiêkszoSci dzia³añ NIS-a.U¿ywanie NIS-a z obs³ug¹ hase³ shadowKorzystanie z NIS-a w po³¹czeniu z plikami hase³ shadow jest nieco k³opotliwe.Naj-pierw z³e wiadomoSci: NIS podwa¿a sens u¿ywania hase³ shadow.Schemat hase³shadow zosta³ zaprojektowany po to, by zabroniæ u¿ytkownikom nie posiadaj¹cymprawa roota dostêpu do zaszyfrowanej postaci hase³.U¿ywanie NIS-a dowspó³dzielenia danych shadow powoduje koniecznoSæ udostêpnienia zaszyfrowa-nych hase³ osobom, które pods³uchuj¹ odpowiedzi serwera NIS w sieci.Rozwi¹za-nie polegaj¹ce na zmuszaniu ludzi do wyboru dobrych hase³ jest zdecydowanielepsze, ni¿ próba u¿ywania hase³ shadow w Srodowisku NIS.Przyjrzyjmy siê szyb-ko, jak to zrobiæ.W libc5nie ma prawdziwego rozwi¹zania pozwalaj¹cego na wspó³dzielenie danychshadow za pomoc¹ NIS-a.Jedynym sposobem na rozpowszechnianie informacjio u¿ytkownikach i has³ach przez NIS jest u¿ycie standardowych map passwd.*.Je¿elimasz zainstalowane has³a typu shadow, najprostszym sposobem na ich rozsy³aniejest generowanie odpowiedniego pliku passwd na podstawie /etc/shadow za pomoc¹narzêdzi takich, jak pwuncov, i tworzenie map NIS-a na podstawie uzyskanego pli-ku.OczywiScie wymySlono kilka zabiegów, które umo¿liwiaj¹ u¿ywanie hase³ shadowi NIS-a w tym samym czasie, jak na przyk³ad instalacja pliku /etc/shadow na ka¿dymhoScie w sieci i dystrybuowanie informacji o u¿ytkownikach przez NIS-a.Jednak tasztuczka jest naprawdê prymitywna i w zasadzie zaprzecza istocie NIS-a, który mau³atwiaæ administrowanie systemem.Obs³uga NIS-a w bibliotece GNU libc (libc6) uwzglêdnia has³a typu shadow.Nie za-pewnia ¿adnego rozwi¹zania, które udostêpnia³oby has³a, ale upraszcza zarz¹dza-nie has³ami w Srodowiskach, w których chcesz u¿ywaæ i NIS-a, i hase³ shadow.Abyto zrobiæ, musisz stworzyæ bazê danych shadow.byname i dodaæ poni¿szy wiersz doswojego pliku /etc/nsswitch.conf:# Obs³uga hase³ typu shadowshadow: compatJeSli u¿ywasz hase³ shadow wraz z NIS-em, musisz przestrzegaæ pewnej zasadybezpieczeñstwa i ograniczyæ dostêp do bazy danych NIS.Przypomnij sobie podroz-dzia³ Bezpieczeñstwo serwera NIS z tego rozdzia³u.14Sieciowy systemplikówRozdzia³ 14: Sieciowy system plikówSieciowy system plików (Network File System NFS) jest prawdopodobnie najbardziejznan¹ us³ug¹ opart¹ na RPC.Pozwala ona na dostêp do plików znajduj¹cych siê nahoScie zdalnym dok³adnie w taki sam sposób, w jaki masz dostêp do plików lokal-nych.Taki dostêp sta³ siê mo¿liwy dziêki po³¹czeniu procedur obs³ugi w j¹drze i de-monów przestrzeni u¿ytkownika po stronie klienta z serwerem NFS po stronie ser-wera.Jest on zupe³nie przezroczysty dla klienta i dzia³a pomiêdzy ró¿nymi architek-turami serwera i hosta.NFS oferuje szereg przydatnych funkcji:· Dane wykorzystywane przez wszystkich u¿ytkowników mog¹ byæ przechowywa-ne na centralnym hoScie, którego katalogi klienty montuj¹ w czasie uruchamiania.Na przyk³ad mo¿esz przechowywaæ wszystkie konta u¿ytkowników na jednymhoScie, z którego bêdziesz montowaæ katalog /home na wszystkich pozosta³ych.Je-¿eli NFS jest zainstalowany wraz z NIS-em, u¿ytkownicy mog¹ logowaæ siê dodowolnego systemu i wci¹¿ pracowaæ na jednym zestawie plików.· Dane zajmuj¹ce du¿o miejsca na dysku mog¹ byæ przechowywane na jednymhoScie.Na przyk³ad wszystkie pliki i programy zwi¹zane z LaTeX-em i META-FONT-em mog¹ byæ przechowywane i zarz¹dzane w jednym miejscu.· Dane administracyjne mog¹ byæ przechowywane na osobnym hoScie.Nie ma po-trzeby u¿ywania rcp do instalacji tego samego g³upiego pliku na dwudziestu ró¿-nych komputerach.Konfigurowanie podstawowych operacji NFS po stronie klienta i serwera nie jesttrudne.Omawia to ten rozdzia³.NFS dla Linuksa to g³Ã³wnie zas³uga Ricka Sladkeya*, który napisa³ kod NFS-a dlaj¹dra i du¿¹ czêSæ serwera NFS.Ten ostatni zosta³ opracowany na podstawie serwe-* Z Rickiem mo¿esz skontaktowaæ siê pod adresem jrs@world.std.com.244 Rozdzia³ 14: Sieciowy system plikówra unfsd, którego autorem jest Mark Shand, i na podstawie serwera NFS hnfs, napi-sanego przez Donalda Beckera.Przyjrzyjmy siê, jak dzia³a NFS.Najpierw klient próbuje zamontowaæ katalog z ho-sta zdalnego w katalogu lokalnym, tak jakby montowa³ fizyczne urz¹dzenie.Jednaksk³adnia u¿ywana do okreSlenia zdalnego katalogu jest inna.Na przyk³ad, aby za-montowaæ /home z hosta vlager w katalogu /user na hoScie vale, administrator wyda-je nastêpuj¹ce polecenie na hoScie vale*:# mount -t nfs vlager:/home /usersmount podejmie próbê skomunikowania siê przez RPC z demonem rpc.mountddzia³aj¹cym na hoScie vlager.Serwer sprawdzi, czy vale ma prawo zamontowa濹dany katalog.Je¿eli tak, zwróci uchwyt pliku.Ten uchwyt bêdzie u¿ywany wewszystkich kolejnych odwo³aniach do plików w katalogu /users.Gdy ktoS dostaje siê do pliku przez NFS, j¹dro wysy³a wywo³anie RPC do rpc.nfsd(demona NFS) na maszynie serwera.To wywo³anie w parametrach zawiera uchwytpliku, nazwê pliku, do którego siê chcemy dostaæ, i ID u¿ytkownika oraz grupy tego,kto chce siê dostaæ.S¹ one wykorzystywane przy ustalaniu praw dostêpu do zada-nego pliku [ Pobierz caÅ‚ość w formacie PDF ]