FALHA CRITICA: NFS + SU

[candrecn]

Pessoal, estou com um "probleminha"...

Estou com uma rede com aproximadamente 300 estações Linux com /home exportado do servidor de arquivos central (Linux).
E a poucos dias após toda rede configurada e testada (LDAP + NFS), me deparei com uma CRATERA (buraco é apelido!) de segurança no NFS.

Pois se estou em qualquer estação como "root" local, posso dar um "su" (su [nome do usuario] ) e entrar com qualquer um dos 300 usuários da rede sem pedir senha alguma!! Ou seja, o "root" local tem permissão de logar como qualquer ususario sem senha e mexer nos arquivos do /home exportado sem nenhuma dificuldade!
Atualizei o NFS e o Portmap do servidor e o problema ẽ o mesmo, me ocorreu de não usar o root local ou não dar a senha do root das estações para ninguem, mas isso não adiantaria muita coisa já que se qualquer pessoa plugar um micro com linux (ou simplesmente reinstalar) na rede pode fazer o mesmo estrago. Igualmente inviavel seria atribuir um export para cada IP de estação, já que a rede faz uso de DHCP e Sub-redes, e são 300 maquinas. :twisted:


Quando ouvi falar que o NFS era inseguro, eu pensava que era apenas porque os dados trafegavam como texto plano na rede, e não que qualquer maquina plugada na rede pudesse ter acesso total as arquivos do servidor sem nenhum esforço.

Alguem conhece ou ouviu falar de alguma forma para solucionar esse problema?

Agradeço!

[irado]

heheheh.. root squashing..

http://216.239.39.104/linux?q=cache:...security&hl=en

divirta-se
:twisted:

Na verdade já estou utlizando o "root_squash", caso contrario o root local já teria acesso total a todos os diretorios exportados..

Essa falha que mencionei, o root local diretamente não possui acesso aos diretorios, mas estando como root local, se eu der o comando "su - (nome do usuario)", eu posso mudar de usuário para qulaquer usuario da rede sem pedir senha, pois o linux nesse caso ainda pensa que esse root é o root do servidor... O que me permite acessar qualquer arquivo e diretorio do /home... o que não é NADA bom....

[Luciano^^]

Estou tendo o mesmo problema, usando o no_root_squash

[Luciano^^]

Eu acho que isso nao é problema no NFS, isto é problema no mecanismo de autenticação, eu achava que isso acontecia aqui pq eu usava NIS, mas vc esta usando LDAP e tem o mesmo problema ne? Realmente isso é uma crateraaaaaaaaaaaaaaa

[mistymst]

eh bronca no nfs, nao de autenticacao, bom voce tem q setar seu clientes mais redondo, de modo que o root nao logue nos terminais, e sim um usuario local despintado e que desse usuario voce possa pegar "privilegios" de root.

eh um negocio meio complicado mesmo, pois o su se tiver com uid 0 o user em questao ele nem vai procurar as outras vias de autenticacao (o pam se encarrega disso) ja q ta de root pode passar sem senha. ai ele cata qq user. eh meio complicado de resolver, tente fazer uma politica local mais segura para resolver essa bronca ou entao implementar algo no estilo suauth q n deixei o root mudar para qq usuario.

[luciano^^]

Mas cara isso nao poderia acontecer, qualquer um que entre com um laptop com o seu linux instalado dentro das instalacoes fisicas da sua rede e plugar o computador, vai conseguir dar um su para qualquer usuario...

A segurança deveria ser feita no servidor...
Muito estranho isso...

[luciano^^]

Na verdade o root local nao poderia se transformar em um usuario qualquer, na verdade o root local nao poderia fazer nada, afinal ele nao é o root do servidor.
Mas o que acontece é que qualquer um que tenha uma senha de root local pode fazer su - usuario

e ele se transforma nesse usuario e consegue fazer na rede qualquer coisa que esse usuario tenha permissao.

Ao meu ver o problema esta na autenticaçao e nao no NFS.

[candrecn]

Luciano,
É EXATAMENTE isso que eu penso...
Não tem sentido o root local ter permissão de trocar de usuário sem pedir senha como se fosse o root do servidor, tudo bem se eu tivesse usando uma opção para isso...

Mas da forma que está, não tem a MENOR LOGICA, fazer implementação de segurança nas estações! Como você disse (o que também sempre achei), chega um cara com um note-linux e pronto... já era, e ai ? Cade a segurança?

É OBVIO que ela tem que estar no servidor, e não nas estações...foda isso. Atualmente tou fazendo umas apelações para conter a segurança nas estações, o que impede apenas os usuários que utilizam as maquinas já instaladas de obter acesso, mas não impede nada, se alguem re-instalar um linux em um estação ou chegar com um note.... Na minha rede tem até um link de rádio para outro predio, o qual não estou exportando NFS exatamente pelo excesso de falta de segurança... ai ia ser mais foda ainda, chega um nego com um note de casa que passa o sial do radio e faz a festa e nunca vamos saber o que aconteceu..