这个问题有点,有点,已经问过了但是 NFS+NIS 设置中有一个安全问题仍然困扰着我:如果您知道某人的用户名/uid,您可以设置一台 *nix 计算机,在本地创建一个具有相同名称/uid 的用户,然后您就可以挂载服务器 FS,它就会允许您访问该用户的文件。
所以我的问题很具体:是否有其他设置,即使您设置了自己的计算机并将其放在网络上,也无法访问服务器文件,无论如何,除非您拥有有效的用户名和密码?
用户仍然需要能够登录到他们的工作站并使用他们的服务器文件,而不必一直输入密码。如果它只在 Gnome 等 Linux GUI 中工作,那就没问题了。
答案1
安全问题不能通过使用NFSv4 和 kerberos? 您在回答上一个问题时提到了 Kerberos,但您在有关安全问题的新问题中没有提到它。
我不明白如何可以通过简单匹配的用户名/uid 来欺骗需要 Kerberos 身份验证的 nfs 共享。
答案2
NIS 已经过时了,甚至都忘了它的存在。您可以使用 LDAP 以更现代的方式实现相同的功能。我建议您查看 Kerberos 和 NFSv4 进行用户身份验证。这需要设置相当多的基础设施,但一旦您全部安装好,维护起来就不太困难了。
答案3
我不是 NFS/NIS 的粉丝,但您描述的安全问题是一个配置问题,而不是固有缺陷:您可以将 NFS 服务器配置为仅接受来自已知主机的挂载请求(或者,如果您想要更高级一些,可以通过网络组进行限制),这样 J. Random Hacker 就不能直接插入并开始挂载东西。请参阅手册exports(5)页了解详细信息,或者浏览一本 O'Reilly NFS+NIS 书籍,获取非常好的示例。
(这并不能解决 NFS/NIS 的任何其他问题是固有缺陷,但它是解决您当前问题的直接方法:)。
答案4
LDAP 或 Samba 用于统一登录。任何网络文件系统都应该能让您完成这个等式。