erlug
[Top] [All Lists]

Re: [Erlug] NFS diffused root problem

To: erlug@xxxxxxxxxxxxxx
Subject: Re: [Erlug] NFS diffused root problem
From: "Ivan Sergio Borgonovo" <mail@xxxxxxxxxxxxxxx>
Date: Tue, 23 Apr 2002 23:36:37 +0200
On 23 Apr 2002 at 20:11, Zen wrote:

> On Mon, Apr 22, 2002 at 09:57:37PM +0200, Maurizio Lemmo - Tannoiser
> wrote: > Poi se mi e` sfuggito qualcosa, chiedo venia, ma da come e` >
> presentato... > > PS: probabilmente, dovresti fare qualche prova...
>
>  Se NFS fosse cosi' facile da aggirare, l'avrebbero bucato 2
>  giorni dopo che e' stato immesso sul mercato (1g per
>  installarlo, 1g per bucarlo).

Bhe potrebbe dipendere dal fatto che l'uso è ristratto ad alcuni ambiti
dove questi sistemi barbari di cracking non costituiscono problema...
eg. non dai account di root agli utenti dei client :)

>  I problemi sono sul portmapper, non nel design del protocollo in
>  se' (anche, ma non e' trivial) o sulle conf.

Ma sembra che tu sappia dove stiamo sbagliando...

Insomma, come funziona questo protocollo per quanto riguarda la parte
di autenticazione? Se ne sai qualche cosa mi piacerebbe saperlo,
altrimenti mollo il colpo fino a quando la cosa non mi verrà
effettivamente utile.

On 22 Apr 2002 at 21:57, Maurizio Lemmo - Tannoiser wrote:

> > Quindi la tecnica
> >
> > /home/joe/ pc001(rw,all_squash,anonuid=150,anongid=100)
> >
> > è inefficace.
>
> Personalmente, questo sillogismo, non lo vedo.
>
> 1. il file di exports e` sul server. Il file di exports non si "esporta"
> (non ne vedo l'utilita`, come tutta la dir /etc e tante altre). 2. Se
> anche, l'etc fosse esportata si da permessi di scrittura a tal file
> _solo_ a root.
>
> all_squash, dice la man page, mappa _tutti_ gli utenti all'utente
> anonimo (e gruppo). Guarda caso, dice proprio che e` indicata per
> directory esportate pubbliche ecc.

Da come la ho capita io TUTTI quelli che accedono da pc001 accedono
come uid 150 e gid 100, ovvero /home/joe/ è _pubblica_ per _tutti_
quelli che accedono da pc001 (anche se non sono joe).

Ma credo che questo non fosse il problema di Marcello.
Se interpreto bene lui voleva share _privati_.


--
Salve
Ivan Sergio Borgonovo
http://www.webthatworks.it/
uniq life || sleep 24h



<Prev in Thread] Current Thread [Next in Thread>