Составители:
Рубрика:
Для предотвращения такого неавторизованного обмена ypserv(8)
поддерживает так называемую систему ''securenets'', которая может
использоваться для ограничения доступа к некоторой группе хостов.
При запуске ypserv(8) будет пытаться загрузить информацию,
касающуюся securenets, из файла /var/yp/securenets.
Имя каталога зависит от параметра, указанного вместе с опцией -p.
Этот файл содержит записи, состоящие из указания сети и сетевой маски,
разделенных пробелом. Строчки, начинающиеся со знака ''#'', считаются
комментариями. Примерный файл securenets может иметь примерно такой
вид:
# allow connections from local host -- mandatory
127.0.0.1 255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0 255.255.240.0
Если ypserv(8) получает запрос от адреса, который соответствует
одному из этих правил, он будет отрабатывать запрос обычным образом.
Если же адрес не подпадает ни под одно правило, запрос будет
проигнорирован и в журнал будет записано предупреждающее сообщение.
Если файл /var/yp/securenets не существует, ypserv будет обслуживать
соединения от любого хоста.
Программа ypserv также поддерживает пакет программ TCP Wrapper
от Wietse Venema. Это позволяет администратору для ограничения доступа
вместо /var/yp/securenets использовать конфигурационные файлы TCP
Wrapper.
Оба этих метода управления доступом обеспечивают некоторую
безопасность, они, как основанные на проверке привилегированного порта,
оба подвержены атакам типа ''IP spoofing''. Весь сетевой трафик, связанный
с работой NIS, должен блокироваться вашим брандмауэром.
Серверы, использующие файл /var/yp/securenets, могут быть не в
состоянии обслуживать старых клиентов NIS с древней реализацией
протокола TCP/IP.
Некоторые из этих реализаций при рассылке широковещательных
запросов устанавливают все биты машинной части адреса в ноль и/или не
в состоянии определить маску подсети при вычислении адреса
широковещательной рассылки.
Хотя некоторые из этих проблем могут быть решены изменением
конфигурации клиента, другие могут привести к отказу от использования
/var/yp/securenets.
46
Страницы
- « первая
- ‹ предыдущая
- …
- 44
- 45
- 46
- 47
- 48
- …
- следующая ›
- последняя »
