comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS
pour partarger quelques ressources :
(1) répertoires utilisateurs en lecture/écriture
(2) outils (pour éviter d'avoir à les installer en local partout) en
lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir :
(a) l'usurpation de l'identité du client, pour (1)
(b) l'usurpation de l'identité du serveur, pour (2) particulièrement
(c) la possibilité pour n'importe qui sur le réseau de confiance de voir
les répertoires partagés ainsi que les répertoires actuellement montés
et par qui
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger
les problèmes, mais cela ne résoud pas tout.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ?
Est-ce que les dernières versions de NFS améliorent la situation ?
J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes.
Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux)
est possible en production ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"Olivier Croquette" wrote in message news:c9eu0n$8ph$02$
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ? Est-ce que les dernières versions de NFS améliorent la situation ? J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes. Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux) est possible en production ?
Je n'ai pas de réponse précise, mais tu peux regarder du coté de SHFS, SNFS et SFS qui sont des possibilités de sécurisation de NFS, chacune utilisant de la crypto pour la confidentialité et mettant en ouvre des solutions pour pallier aux problèmes de NFS.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Olivier Croquette" <ocroquette@free.fr> wrote in message
news:c9eu0n$8ph$02$1@news.t-online.com
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ?
Est-ce que les dernières versions de NFS améliorent la situation ?
J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes.
Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux)
est possible en production ?
Je n'ai pas de réponse précise, mais tu peux regarder du coté de
SHFS, SNFS et SFS qui sont des possibilités de sécurisation de NFS,
chacune utilisant de la crypto pour la confidentialité et mettant
en ouvre des solutions pour pallier aux problèmes de NFS.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Olivier Croquette" wrote in message news:c9eu0n$8ph$02$
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ? Est-ce que les dernières versions de NFS améliorent la situation ? J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes. Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux) est possible en production ?
Je n'ai pas de réponse précise, mais tu peux regarder du coté de SHFS, SNFS et SFS qui sont des possibilités de sécurisation de NFS, chacune utilisant de la crypto pour la confidentialité et mettant en ouvre des solutions pour pallier aux problèmes de NFS.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Benjamin Pineau
Le 31 May 2004 10:04:15 GMT, Olivier Croquette écrivais:
Bonjour,
comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS pour partarger quelques ressources : (1) répertoires utilisateurs en lecture/écriture (2) outils (pour éviter d'avoir à les installer en local partout) en lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir : (a) l'usurpation de l'identité du client, pour (1) (b) l'usurpation de l'identité du serveur, pour (2) particulièrement (c) la possibilité pour n'importe qui sur le réseau de confiance de voir les répertoires partagés ainsi que les répertoires actuellement montés et par qui
Les réponses possible dépendent largement de l'architecture de votre réseau et plus encore des systèmes en présences (OS, versions).
Par exemple la possibilité (ou non) d'utiliser une évolution/ un fork de nfs ou mieux, d'utiliser un protocole plus sécurisé.
-- Benjamin Pineau
Le 31 May 2004 10:04:15 GMT,
Olivier Croquette <ocroquette@free.fr> écrivais:
Bonjour,
comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS
pour partarger quelques ressources :
(1) répertoires utilisateurs en lecture/écriture
(2) outils (pour éviter d'avoir à les installer en local partout) en
lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir :
(a) l'usurpation de l'identité du client, pour (1)
(b) l'usurpation de l'identité du serveur, pour (2) particulièrement
(c) la possibilité pour n'importe qui sur le réseau de confiance de voir
les répertoires partagés ainsi que les répertoires actuellement montés
et par qui
Les réponses possible dépendent largement de l'architecture de votre
réseau et plus encore des systèmes en présences (OS, versions).
Par exemple la possibilité (ou non) d'utiliser une évolution/ un fork
de nfs ou mieux, d'utiliser un protocole plus sécurisé.
Le 31 May 2004 10:04:15 GMT, Olivier Croquette écrivais:
Bonjour,
comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS pour partarger quelques ressources : (1) répertoires utilisateurs en lecture/écriture (2) outils (pour éviter d'avoir à les installer en local partout) en lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir : (a) l'usurpation de l'identité du client, pour (1) (b) l'usurpation de l'identité du serveur, pour (2) particulièrement (c) la possibilité pour n'importe qui sur le réseau de confiance de voir les répertoires partagés ainsi que les répertoires actuellement montés et par qui
Les réponses possible dépendent largement de l'architecture de votre réseau et plus encore des systèmes en présences (OS, versions).
Par exemple la possibilité (ou non) d'utiliser une évolution/ un fork de nfs ou mieux, d'utiliser un protocole plus sécurisé.
-- Benjamin Pineau
LaDDL
Olivier Croquette wrote:
Bonjour, Bonjour,
[...]
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger les problèmes, mais cela ne résoud pas tout. C'est pas suffisant. Tu le verras dans les FAQs ci-dessous.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ? FAQs Linux NFS :
Est-ce que les dernières versions de NFS améliorent la situation ? http://www.nfsv4.org/
http://www.iaps.com/NFSv4.html
RFC 2624 http://www.faqs.org/rfcs/rfc2624.html
RFC 3530 http://www.ietf.org/rfc/rfc3530.txt
J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes. Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux) est possible en production ? Cf les FAQs citées ci-haut.
Olivier Croquette wrote:
Bonjour,
Bonjour,
[...]
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger
les problèmes, mais cela ne résoud pas tout.
C'est pas suffisant. Tu le verras dans les FAQs ci-dessous.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ?
FAQs Linux NFS :
Est-ce que les dernières versions de NFS améliorent la situation ?
http://www.nfsv4.org/
http://www.iaps.com/NFSv4.html
RFC 2624
http://www.faqs.org/rfcs/rfc2624.html
RFC 3530
http://www.ietf.org/rfc/rfc3530.txt
J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes.
Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux)
est possible en production ?
Cf les FAQs citées ci-haut.
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger les problèmes, mais cela ne résoud pas tout. C'est pas suffisant. Tu le verras dans les FAQs ci-dessous.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ? FAQs Linux NFS :
Est-ce que les dernières versions de NFS améliorent la situation ? http://www.nfsv4.org/
http://www.iaps.com/NFSv4.html
RFC 2624 http://www.faqs.org/rfcs/rfc2624.html
RFC 3530 http://www.ietf.org/rfc/rfc3530.txt
J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes. Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux) est possible en production ? Cf les FAQs citées ci-haut.
Pascal PETIT
Bonjour,
Olivier Croquette writes:
(1) répertoires utilisateurs en lecture/écriture [...]
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger les problèmes, mais cela ne résoud pas tout.
En effet. Il "suffit" d'usurper l'adresse ip d'une machine existante pour avoir accès en lecture/écriture aux dossiers utilisateurs.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ?
Le sujet a été abordé de façon non exaustive lors des jres2003 :
-- Pascal qui n'a pas encore eu le temps de s'intéresser au sujet (à part fureter sur le WeB)
spamisevi1
Olivier Croquette wrote in message news:<c9eu0n$8ph$02$...
Bonjour,
comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS pour partarger quelques ressources : (1) répertoires utilisateurs en lecture/écriture (2) outils (pour éviter d'avoir à les installer en local partout) en lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir : (a) l'usurpation de l'identité du client, pour (1) (b) l'usurpation de l'identité du serveur, pour (2) particulièrement (c) la possibilité pour n'importe qui sur le réseau de confiance de voir les répertoires partagés ainsi que les répertoires actuellement montés et par qui
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger les problèmes, mais cela ne résoud pas tout.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ? Est-ce que les dernières versions de NFS améliorent la situation ? J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes. Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux) est possible en production ?
Merci pour vos avis
Je ne suis pas bon au Français, ainsi j'emploie Google traduis ceci en anglais. L'utilisation de NIS+ au NFS bloqué est une option, mais en dehors de Solaris, d'cAix, et de HP/ux vous ne trouverez pas l'appui. Vous voulez employer l'authentification de NFS par l'intermédiaire de Kerberos V5. À l'avenir, cette approche sera plus populaire. Le soleil Microsystems l'a dans Solaris. L'appareil de réseau et les EMC l'ont également. Il est dans Linux 2,6.
Olivier Croquette <ocroquette@free.fr> wrote in message news:<c9eu0n$8ph$02$1@news.t-online.com>...
Bonjour,
comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS
pour partarger quelques ressources :
(1) répertoires utilisateurs en lecture/écriture
(2) outils (pour éviter d'avoir à les installer en local partout) en
lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir :
(a) l'usurpation de l'identité du client, pour (1)
(b) l'usurpation de l'identité du serveur, pour (2) particulièrement
(c) la possibilité pour n'importe qui sur le réseau de confiance de voir
les répertoires partagés ainsi que les répertoires actuellement montés
et par qui
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger
les problèmes, mais cela ne résoud pas tout.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ?
Est-ce que les dernières versions de NFS améliorent la situation ?
J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes.
Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux)
est possible en production ?
Merci pour vos avis
Je ne suis pas bon au Français, ainsi j'emploie Google traduis ceci en
anglais. L'utilisation de NIS+ au NFS bloqué est une option, mais en
dehors de Solaris, d'cAix, et de HP/ux vous ne trouverez pas l'appui.
Vous voulez employer l'authentification de NFS par l'intermédiaire de
Kerberos V5. À l'avenir, cette approche sera plus populaire. Le
soleil Microsystems l'a dans Solaris. L'appareil de réseau et les EMC
l'ont également. Il est dans Linux 2,6.
Olivier Croquette wrote in message news:<c9eu0n$8ph$02$...
Bonjour,
comme sur beaucoup de sites utilisant des systèmes Unix, j'utilise NFS pour partarger quelques ressources : (1) répertoires utilisateurs en lecture/écriture (2) outils (pour éviter d'avoir à les installer en local partout) en lecture seule
Ce qui m'embête, c'est la securité du tout, à savoir : (a) l'usurpation de l'identité du client, pour (1) (b) l'usurpation de l'identité du serveur, pour (2) particulièrement (c) la possibilité pour n'importe qui sur le réseau de confiance de voir les répertoires partagés ainsi que les répertoires actuellement montés et par qui
Pour le moment, j'utilise le hosts.allow et le hosts.deny pour mitiger les problèmes, mais cela ne résoud pas tout.
Est-ce qu'il y a quelque part des documents qui irait dans ce sens ? Est-ce que les dernières versions de NFS améliorent la situation ? J'ai cru comprendre que NFS3 et NIS+ corrigent en partie les problèmes. Est-ce le cas et est-ce que la migration à partir de NFS2/NIS (Linux) est possible en production ?
Merci pour vos avis
Je ne suis pas bon au Français, ainsi j'emploie Google traduis ceci en anglais. L'utilisation de NIS+ au NFS bloqué est une option, mais en dehors de Solaris, d'cAix, et de HP/ux vous ne trouverez pas l'appui. Vous voulez employer l'authentification de NFS par l'intermédiaire de Kerberos V5. À l'avenir, cette approche sera plus populaire. Le soleil Microsystems l'a dans Solaris. L'appareil de réseau et les EMC l'ont également. Il est dans Linux 2,6.
Guillaume T.
On 06 Jun 2004 05:23:30 GMT, Mike Eisler wrote:
Je ne suis pas bon au Français, ainsi j'emploie Google traduis ceci en anglais.
Just a quick note from a co-moderator point of view: I guess that it's better to include the original reply in english as well, because automatic translation sometimes gives funny results, like for example "soleil Microsystems" for "Sun Microsystems" :)
Une petite remarque du point de vue d'un co-modérateur: je pense qu'il est mieux d'inclure aussi la réponse originale en anglais, parce que les logiciels de traduction automatique donnent des résultats parfois étranges, comme par exemple "soleil Microsystems" au lieu de "Sun Microsystems" :)
-- Guillaume "Frenchie", MAP kinase lover. Massachusetts General Hospital - Dpt of Molecular Biology Harvard Medical School - Dpt of Genetics Wellman 11 / 50, Blossom St / Boston MA 02114 / USA
On 06 Jun 2004 05:23:30 GMT, Mike Eisler wrote:
Je ne suis pas bon au Français, ainsi j'emploie Google traduis ceci en
anglais.
Just a quick note from a co-moderator point of view: I guess that it's
better to include the original reply in english as well, because
automatic translation sometimes gives funny results, like for example
"soleil Microsystems" for "Sun Microsystems" :)
Une petite remarque du point de vue d'un co-modérateur: je pense qu'il
est mieux d'inclure aussi la réponse originale en anglais, parce que les
logiciels de traduction automatique donnent des résultats parfois
étranges, comme par exemple "soleil Microsystems" au lieu de "Sun
Microsystems" :)
--
Guillaume "Frenchie", MAP kinase lover.
Massachusetts General Hospital - Dpt of Molecular Biology
Harvard Medical School - Dpt of Genetics
Wellman 11 / 50, Blossom St / Boston MA 02114 / USA
Je ne suis pas bon au Français, ainsi j'emploie Google traduis ceci en anglais.
Just a quick note from a co-moderator point of view: I guess that it's better to include the original reply in english as well, because automatic translation sometimes gives funny results, like for example "soleil Microsystems" for "Sun Microsystems" :)
Une petite remarque du point de vue d'un co-modérateur: je pense qu'il est mieux d'inclure aussi la réponse originale en anglais, parce que les logiciels de traduction automatique donnent des résultats parfois étranges, comme par exemple "soleil Microsystems" au lieu de "Sun Microsystems" :)
-- Guillaume "Frenchie", MAP kinase lover. Massachusetts General Hospital - Dpt of Molecular Biology Harvard Medical School - Dpt of Genetics Wellman 11 / 50, Blossom St / Boston MA 02114 / USA
Fred Albrecht
<posted & mailed>
Pascal PETIT a dit dans fr.comp.securite :
coda peut aussi être une solution :
http://www.coda.cs.cmu.edu/
J'entends régulièrement dire beaucoup de mal de coda (qui sur le papier après un survol rapide semble pourtant être intéressant). Mais je ne trouve pas d'argumentaire sérieux.
Quelqu'un a essayé de déployer le machin et saurait si c'est une alternative viable ?
-- Fred. Linux, {Free,Open}BSD mercenary {sys,net}admin @ N48º53.115 E02º19.31 This message is made from the freshest handpicked electrons http://www.fredshome.org
<posted & mailed>
Pascal PETIT a dit dans fr.comp.securite :
coda peut aussi être une solution :
http://www.coda.cs.cmu.edu/
J'entends régulièrement dire beaucoup de mal de coda (qui sur le papier
après un survol rapide semble pourtant être intéressant). Mais je ne trouve
pas d'argumentaire sérieux.
Quelqu'un a essayé de déployer le machin et saurait si c'est une alternative
viable ?
--
Fred.
Linux, {Free,Open}BSD mercenary {sys,net}admin @ N48º53.115 E02º19.31
This message is made from the freshest handpicked electrons
http://www.fredshome.org
J'entends régulièrement dire beaucoup de mal de coda (qui sur le papier après un survol rapide semble pourtant être intéressant). Mais je ne trouve pas d'argumentaire sérieux.
Quelqu'un a essayé de déployer le machin et saurait si c'est une alternative viable ?
-- Fred. Linux, {Free,Open}BSD mercenary {sys,net}admin @ N48º53.115 E02º19.31 This message is made from the freshest handpicked electrons http://www.fredshome.org
