FALHA CRITICA: NFS + SU

[candrecn]

Pessoal, estou com um "probleminha"...

Estou com uma rede com aproximadamente 300 estações Linux com /home exportado do servidor de arquivos central (Linux).
E a poucos dias após toda rede configurada e testada (LDAP + NFS), me deparei com uma CRATERA (buraco é apelido!) de segurança no NFS.

Pois se estou em qualquer estação como "root" local, posso dar um "su" (su [nome do usuario] ) e entrar com qualquer um dos 300 usuários da rede sem pedir senha alguma!! Ou seja, o "root" local tem permissão de logar como qualquer ususario sem senha e mexer nos arquivos do /home exportado sem nenhuma dificuldade!
Atualizei o NFS e o Portmap do servidor e o problema ẽ o mesmo, me ocorreu de não usar o root local ou não dar a senha do root das estações para ninguem, mas isso não adiantaria muita coisa já que se qualquer pessoa plugar um micro com linux (ou simplesmente reinstalar) na rede pode fazer o mesmo estrago. Igualmente inviavel seria atribuir um export para cada IP de estação, já que a rede faz uso de DHCP e Sub-redes, e são 300 maquinas. :twisted:


Quando ouvi falar que o NFS era inseguro, eu pensava que era apenas porque os dados trafegavam como texto plano na rede, e não que qualquer maquina plugada na rede pudesse ter acesso total as arquivos do servidor sem nenhum esforço.

Alguem conhece ou ouviu falar de alguma forma para solucionar esse problema?

Agradeço!

[Phrix]

Se eu não estou enganado se você configurar no exports o diretório com o parametro root_squash este problema será solucionado !!!

/home 10.0.0.* (rw,root_squash)

Testa aí !!!!!

[candrecn]

Na verdade já estou utlizando o "root_squash", caso contrario o root local já teria acesso total a todos os diretorios exportados.

Essa falha que mencionei, o root local diretamente não possui acesso aos diretorios, mas estando como root local, se eu der o comando "su - (nome do usuario)", eu posso mudar de usuário para qulaquer usuario da rede sem pedir senha, pois o linux pensa que esse root é o root do servidor... O que me permite acessar qualquer arquivo e diretorio do /home... o que não é NADA bom....