Forum Linux.général NFS et sécurité

Posté par Marc Quinton le 16 octobre 2009 à 18:56.

Étiquettes : aucune

oct.

2009

bonjour,

utilisant Linux en entreprise, je souhaiterai donner le plus de liberté et d'autonomie aux utilisateurs. Pour cela, il est envisagé l'accès aux fonctions d'administration via sudo.

D'autre part, nous disposons d'un réseau avec NIS et NFS. Un problème de sécurité est évoqué, en effet, il est possible de prendre n'importe quelle identité en étant administrateur, puis de monter via NFS un répertoire quelconque et d'accéder librement aux données ; on peut parler ici d'usurpation d'identité.

Est-ce qu'il existe des parades à cet écueil ?

# rah, zut

Posté par Marc Quinton le 16 octobre 2009 à 18:56. Évalué à 2.

j'ai pas sélectionné la bonne rubrique. Désolé.
# nfsv4 + kerberos

Posté par nono14 (site web personnel) le 16 octobre 2009 à 18:58. Évalué à 2.

Tout est dans le titre
Les machines sont authentifiées et les utilisateurs...
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
- [^] # Re: nfsv4 + kerberos
  
  Posté par Sytoka Modon (site web personnel) le 16 octobre 2009 à 20:25. Évalué à 3.
  
  Cela fait longtemps qu'on en parle mais je n'ai pas encore vu quelqu'un l'utiliser !
  
  Tu as essayé ? C'est comment à mettre en place ? Tu as un bon tuto ?
  
  Merci
  - [^] # Re: nfsv4 + kerberos
    
    Posté par nono14 (site web personnel) le 16 octobre 2009 à 21:08. Évalué à 3.
    
    Il y a un peu de boulot.
    
    Nfsv4: http://www.citi.umich.edu/projects/nfsv4/
    
    Kerberos: page de man de la distrib ( Debian )
    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
    - [^] # Re: nfsv4 + kerberos
      
      Posté par Marc Quinton le 17 octobre 2009 à 00:18. Évalué à 2.
      
      j'ajouterai :
      - https://wiki.linux-nfs.org/wiki/index.php/NFSv4_Introduction
      - https://wiki.linux-nfs.org/wiki/index.php/Nfsv4_configuratio(...)
- [^] # Re: nfsv4 + kerberos
  
  Posté par Marc Quinton le 16 octobre 2009 à 23:56. Évalué à 2.
  
  merci pour la confirmation de ce que j'avais déja pressenti. Je vais voir pour faire des essais de ce coté. Sinon, je pense que notre pauvre gros NAS ne sera pas très enclin à nous abbreuver de NFSV4 à la sauce Kerberos ; ne serait-il pas possible de placer entre les 2 un proxy-NFS faisant la translation entre les 2 mondes : l'un insécurisé et l'autre proche de l'idéal ?
  - [^] # Re: nfsv4 + kerberos
    
    Posté par Marc Quinton le 17 octobre 2009 à 00:02. Évalué à 2.
    
    ho, hé bien, il semble que notre NAS soit disposé a faire du NFS V4 (EMC avec OS DART). c'est formidable la vie ; reste plus qu'à convaincre nos administrateurs ....
# sudo et limitations

Posté par NeoX le 16 octobre 2009 à 19:01. Évalué à 3.

il suffit de limiter tes utilisateurs à l'usage de sudo pour les seules fonctions qui leurs sont vraiment utiles.

ainsi tes utilisateurs ne passent pas admin
ne monte pas n'importe quoi
- [^] # Re: sudo et limitations
  
  Posté par Marc Quinton le 16 octobre 2009 à 23:53. Évalué à 1.
  
  oui, merci, pour sudo, je connais assez bien le principe ; ca permet effectivement de juguler ; mais la contrepartie, c'est que ca les prive aussi de liberté et d'autonomie.
  
  Avoir le beurre et l'argent du beurre, telle est notre objectif.
  - [^] # Re: sudo et limitations
    
    Posté par NeoX le 17 octobre 2009 à 00:16. Évalué à 2.
    
    quel liberté veux-tu accorder à tes utilisateurs qui necessite un sudo
    
    tu peux peut-etre faire une negation avec sudo
    tout sauf mount
    
    apres tout, le mount ne sert à rien sur les distribs modernes
    - [^] # Re: sudo et limitations
      
      Posté par yellowiscool le 17 octobre 2009 à 13:48. Évalué à 3.
      
      Si, quand tu as un disque ntfs qui s'est mal éjecté, tu peut le monter qu'avec mount -f (force), ou sur un pc windows. Gnome veut pas gérer ça lui même.
      Envoyé depuis mon lapin.
      - [^] # Re: sudo et limitations
        
        Posté par Sytoka Modon (site web personnel) le 17 octobre 2009 à 18:12. Évalué à 2.
        
        Il y a aussi le disque dur externe que je démonte mais que je me dis que je le remonterais bien ;-) Si on veut éviter la coupure électrique et le débranchement / branchement sauvage, il faut remonter à la main. C'est un cas qui m'arrive personnellement assez souvent !
        
        [^] # Re: sudo et limitations
        
        Posté par yellowiscool le 18 octobre 2009 à 02:54. Évalué à 2.
        
        Sur mon ordinateur, il suffit de cliquer sur son nom dans la liste des signets à gauche dans une fenêtre de nautilus.
        Envoyé depuis mon lapin.
        
        [^] # Re: sudo et limitations
        
        Posté par NeoX le 18 octobre 2009 à 15:27. Évalué à 2.
        
        il est encore visible dans les listes des peripheriques USB
        
        il me suffit de cliquer dessus pour le reactiver (aussi avec Nautilus)
        
        apres effectivement sur un support NTFS mal demonté par windows, si on veut vraiment forcer le montage, la ligne de commande semble etre la seul solution

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.