Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Sichern von NIS

5.3. Sichern von NIS

NIS steht f�r Network Information Service. Es ist ein RPC-Dienst mit dem Namen ypserv, der zusammen mit portmap und anderen zugeh�rigen Diensten verwendet wird, um Informationen zu Benutzernamen, Passw�rtern und anderen empfindlichen Daten an jeden beliebigen Computer innerhalb dessen Domain weiterzugeben.

Ein NIS-Server besteht aus mehreren Applikationen, unter anderem:

  • /usr/sbin/rpc.yppasswdd — Auch yppasswdd-Dienst genannt. Dieser Daemon erm�glicht Benutzern, ihre NIS-Passw�rter zu �ndern.

  • /usr/sbin/rpc.ypxfrd — Auch ypxfrd-Dienst genannt. Dieser Daemon ist f�r den NIS-Map-Transfer �ber das Netzwerk verantwortlich.

  • /usr/sbin/yppush — Diese Applikation verbreitet ge�nderte NIS-Datenbanken an mehrere NIS-Server.

  • /usr/sbin/ypserv — Dies ist der NIS-Server-Daemon.

Im Vergleich zu heutigen Standards ist NIS als eher unsicher einzustufen. Es besitzt keine Host-Authentifizierungsmechanismen und �bertr�gt Informationen, einschlie�lich Passwort-Hashes, unverschl�sselt �ber das Netzwerk. Aus diesem Grund m�ssen Sie beim Einrichten eines Netzwerks mit NIS extreme Vorsicht walten lassen. Dadurch, dass die Standard-Konfiguration von NIS von Natur aus unsicher ist, wird die Angelegenheit noch weiter verkompliziert.

Es wird empfohlen, dass Sie, bevor Sie einen NIS-Server implementieren wollen, zuerst den portmap-Dienst wie unter Abschnitt 5.2 beschrieben sichern und dann weitere Angelegenheiten wie Netzwerkplanung angehen.

5.3.1. Planen Sie das Netzwerk sorgf�ltig

Da NIS empfindliche Informationen unverschl�sselt �ber das Netzwerk �bertr�gt, ist es wichtig, dass dieser Dienst hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgef�hrt wird. Jedes Mal, wenn NIS-Informationen �ber ein unsicheres Netzwerk �bertragen werden, wird das Abfangen von Daten riskiert. Hier kann ein sorgf�ltiges Design des Netzwerks schwerwiegende Sicherheitsbr�che verhindern.

5.3.2. Verwenden Sie Passwort-�hnliche NIS-Domainnamen und Hostnamen

Jede Maschine innerhalb einer NIS-Domain kann �ber bestimmte Befehle, ohne Authentifizierung, Informationen von einem Server extrahieren, solange der Benutzer den DNS-Hostnamen und den NIS-Domain-Namen des NIS-Servers kennt.

Wenn sich zum Beispiel jemand mit einem Laptop in das Netzwerk einklinkt oder von au�en ins Netzwerk eindringt (und es schafft, eine interne IP-Adresse vorzut�uschen), enth�llt der folgende Befehl die /etc/passwd-Map:

ypcat -d <NIS_domain> -h <DNS_hostname> passwd

Ist der Angreifer ein Root-Benutzer, kann dieser die Datei /etc/shadow durch folgenden Befehl einsehen:

ypcat -d <NIS_domain> -h <DNS_hostname> shadow

AnmerkungHinweis
 

Wenn Kerberos verwendet wird, wird die Datei /etc/shadow nicht innerhalb einer NIS-Map gespeichert.

Um den Zugang zu NIS-Maps f�r einen Angreifer zu erschweren, erstellen Sie einen zuf�lligen String f�r den DNS-Hostnamen, wie zum Beispiel o7hfawtgmhwg.domain.com. Erstellen Sie in gleicher Weise einen anderen, zufallsgenerierten NIS-Domain-Namen. Hierdurch wird es einem Angreifer erheblich erschwert, Zugang zum NIS-Server zu erhalten.

5.3.3. Bearbeiten Sie die Datei /var/yp/securenets

NIS h�rt alle Netzwerke ab, wenn die Datei /var/yp/securenets leer ist oder gar nicht existiert (dies ist z.B: nach einer Standard-Installation der Fall). Als erstes sollten Sie ein Netmask/Netzwerkpaar in der Datei hinterlegen, damit ypserv nur auf Anfragen des richtigen Netzwerks reagiert.

Unten finden Sie einen Beispieleintrag einer /var/yp/securenets-Datei:

255.255.255.0     192.168.0.0

WarnungAchtung
 

Sie sollten niemals einen NIS-Server zum ersten Mal starten, ohne vorher die Datei /var/yp/securenets erstellt zu haben.

Diese Methode sch�tzt nicht vor einer IP-Spoofing-Attacke, schr�nkt jedoch die Netzwerke, die von NIS bedient werden, zumindest ein.

5.3.4. Zuweisung von Static Ports und Verwendung von IPTables -Regeln

Jedem der zu NIS geh�renden Server kann ein bestimmter Port zugewiesen werden, mit Ausnahme von rpc.yppasswdd — dem Daemon, der Benutzern das �ndern ihrer Login-Passw�rter erlaubt. Indem Sie den anderen beiden NIS-Server-Daemons, rpc.ypxfrd und ypserv, Ports zuweisen, k�nnen Sie Firewall-Regeln erstellen, um die NIS-Server-Daemons noch mehr vor Eindringlingen zu sch�tzen.

Hierzu f�gen Sie die folgenden Zeilen zu /etc/sysconfig/network hinzu:

YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835"

Die folgenden IPTables-Regeln k�nnen erlassen werden, um festzulegen, welches Netzwerk der Server f�r diese Ports abh�ren soll:

iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 835 -j DROP

TippTipp
 

Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl.

5.3.5. Verwenden Sie Kerberos-Authentifizierung

Einer der gr��ten M�ngel beim Verwenden von NIS f�r Authentifizierung ist, dass wenn sich ein Benutzer an einem Computer anmeldet, ein Passwort-Hash der /etc/shadow-Map �ber das Netzwerk verschickt wird. Wenn ein Angreifer Zugang zu einer NIS-Domain erh�lt und Verkehr �ber das Netzwerk durchschn�ffelt, k�nnen Benutzernamen und Passwort-Hashes unbemerkt gesammelt werden. Mit gen�gend Zeit kann dann ein Passwort-Knack-Programm schwache Passw�rter ermitteln und ein Angreifer kann dann auf einen g�ltigen Account im Netzwerk zugreifen.

Da Kerberos Verschl�sselungen mit geheimen Schl�sseln einsetzt, werden niemals Passwort-Hashes �ber das Netzwerk versandt, was das System erheblich sicherer macht. Weitere Informationen �ber Kerberos finden Sie im Kapitel Kerberos im Red Hat Enterprise Linux Referenzhandbuch.

 
 
  Published under the terms of the GNU General Public License Design by Interspire