NFS Sicherheit bei Rootrechten auf Client

[WilliW]

Hallo, bin seit wenigen Tagen stolzer Besitzer einer DS212J und sehr glücklich, dass es hier so ein prima Forum gibt!

Zu meiner Frage: Die Home-Verzeichnisse in meinem Heimnetzwerk werden ganz wunderbar über nfs/automount an die Linux-Clients verteilt. Solange niemand auf den Clients Root-Rechte hat, sind die Zugriffsrechte auch klar geregelt, weil ich auf allen Clients die uid's gleich aufgesetzt habe.

Sobald ich aber irgendwann mal für meinen Junior die Spielwiese des Administrierens freigebe, kann er sich ja nach Belieben lokal als root einen neuen Account mit meiner uid anlegen und hat den vollen Zugriff über NFS auf alle Dateien.

Ich habe folgende Fragen:

• Gilt generell, dass NFS in der einfachen Form nur dann sicher ist, wenn auf den freigegebenen IP-Adressen niemand Root-Recht hat?
• Wenn ich auf der DS einen LDAP-Server zur zentralen Nutzerverwaltung aufsetze, nützt das erst einmal gar nichts, weil ich auf den Clients als Root ja wieder einen lokalen Account aufmachen kann.
• Über Kerberos würden die Passwörter beim NFS-Mount zwischen Client und Server abgeglichen werden, oder? Damit wäre Kerberos wohl die einzige Möglichkeit, die DS so aufzusetzen, dass nur den Usernamen und Passwörtern wie sie auf der von mir allein administrierten DS gelten, zugegriffen werden kann, oder sehe ich da etwas falsch?
• Mein NFS mit automount habe ich in einer halben Stunde laufen gehabt. Die Geschichte mit NFS4 und Kerberos scheint mir aber eine anderen Nummer zu sein. Sehe ich das richtig, dass das Thema ganz schön komplex ist und für ein Heimnetzwerk Overkill ist? Gibt es noch irgendeinen anderen Weg, um unter Linux elegant die Berechtigungen und dir Azuthentifizierung auf den Clients "durchzusetzen"?
• Kerberos läuft doch nur unter NFS 4, oder? Bietet die DS eigentlich NFS 4 an?

 

[WilliW]

Tja, irgendwie ist das bisher eine recht einseitige Diskussion...

Ist das kein Thema, was interessiert, oder habe ich mir implizit schon die meisten Antworten in dem ersten Posting gegeben?

Wer hat denn hier eine NFS/LDAP Lösung im Heimnetz laufen und kann vom Aufwand / Nutzen berichten?

 

[h1bast]

Hi,
diese Kombination wird hier wohl nicht viel angewendet, da hier die meisten User Windows, Macs, Linux in gemischten Umgebungen nutzen und der Aufwand mit NFS/Kerberos vermutlich etwas höher ausfällt, als wenn man das ganze mit SMB durchzieht. Als hint, der Publikumsjoker :

http://de.wikipedia.org/wiki/Network_File_System#Sicherheit

h1

 

[Benares]

@WilliW
Schau dir mal die Option root_squash bei den Freigabeoptionen in /etc/exports an. Dieser Parameter soll gerade bewirken, dass root über NFS eben kein root auf den Zielsystem ist. Ansonsten kümmert sich NFS recht wenig um Benutzerrechte, wenn der Mount erstmal steht. Da zählen nur die UIDs/GIDs, wie man sie auf dem gemounteten Filesystem sieht.

Gruß Benares

 

[WilliW]

Hi,
diese Kombination wird hier wohl nicht viel angewendet, da hier die meisten User Windows, Macs, Linux in gemischten Umgebungen nutzen und der Aufwand mit NFS/Kerberos vermutlich etwas höher ausfällt, als wenn man das ganze mit SMB durchzieht. Als hint, der Publikumsjoker :

http://de.wikipedia.org/wiki/Network_File_System#Sicherheit

h1

Besten Dank für die Antwort!

Da hast Du wahrscheinlich recht. Mein Problem mit SMB ist, dass ich für einen autofs-Mechanismus, bei dem die home-Verzeichnisse beim Einloggen eingebunden werden, auf dem Client ja irgendwo in einem File die Passwörter abgelegt haben muss. Und wenn auf dem Client jemand root-Recht hat, kann er sich eben als ein beliebiger anderer ausgeben.

Oder gibt es da irgendeine elegante Lösung, auf dem Linux-Client per SMB das Home-Verzeichnis einzubinden, nachdem ich mich beim Einloggen mit Usernamen/Passwort zu erkennen gegeben habe?

PS: Danke für den Link. Da steht ja im Prinzip drin, dass die von mir angesprochenen Probleme nun einmal da sind un hingenommen werden müssen. Da es da keine einfach Lösung gibt, liegt es auf der Hand, dass zunächst nur wenige Antworten auf meine Fragen kamen...

 

[WilliW]

@WilliW
Schau dir mal die Option root_squash bei den Freigabeoptionen in /etc/exports an. Dieser Parameter soll gerade bewirken, dass root über NFS eben kein root auf den Zielsystem ist. Ansonsten kümmert sich NFS recht wenig um Benutzerrechte, wenn der Mount erstmal steht. Da zählen nur die UIDs/GIDs, wie man sie auf dem gemounteten Filesystem sieht.

Gruß Benares

Danke für den Tipp! root_squash ist ja schon mal eine sehr wichtige Option, die ich auch gesetzt habe. Allerdings hilft es eben nicht dagegen, sich unter einer anderen, im Heimnetzwerk ja bekannten UID per NFS einen Überblick über alle Daten zu verschaffen...

 

[h1bast]

Und wenn auf dem Client jemand root-Recht hat, kann er sich eben als ein beliebiger anderer ausgeben.

Warum willst du denn überhaupt jemand anderem die root Rechte geben. Für vieles sollte doch dezidierte sudoer Berechtigungen ausreichen?

h1

 

[WilliW]

Warum willst du denn überhaupt jemand anderem die root Rechte geben. Für vieles sollte doch dezidierte sudoer Berechtigungen ausreichen?

h1

Der jemand ist mein Sohnemann, der ja irgendwann auch mal zum Computergott aufsteigen soll. Und das wird man natürlich nicht, wenn man nicht auch mal ein bißchen administrieren kann...