* Fabio Muzzi (kurgan@xxxxxxxxxx) [100308 10:46]:
>
> E` chiaro che questo setup ha sicurezza zero in quanto qualsiasi
> macchina connessa alla rete puo` montare /home in nfs e accedere ai dati
> di tutti gli utenti, e` il bello di nfs.
>
Untrue, se metti dei permessi nelle home come dio comanda, e cambi
l'umask, fai in modo che nelle dir non dell'utente non ci si vada, se
non si e` l'owner
> Per aggirare questo problema mettero` delle regole di firewall per cui
> solo le macchine con il mac address giusto possono accedere a nfs, e le
> macchine in questione sono "blindate" (niente boot da cd, grub con
> password, eccetera). So bene che non basta, che un MAC si puo` spoofare,
> per questo se e` possibile montero` uno switch intelligente al quale
> diro` di permettere quei mac solo su quelle porte. A questo punto, dato
> che la sicurezza fisica c'e`, penso di poter essere relativamente
> tranquillo.
>
cosi` e` se ti pare: NFS e` usato in modo sicuro in posti con migliaia
di utenti smanettanti (i.e. l'universita`) e se vuoi tenere i dati
riservati puoi farlo senza tutte le psicosi indicate da te
--
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------
The Following Subsume All Physical and Human Laws:
(1) You can't push on a string.
(2) Ain't no free lunches.
(3) Them as has, gets.
(4) You can't win them all, but you sure as hell can lose them all.
|