NIS+Aufs的账号认证_服务器应用_Linux公社-Linux系统门户网站
你好，游客
NIS+Aufs的账号认证
来源：Linux社区&
作者：donghao123
nis（网络信息系统） 是一种身份验证方式
集中身份验证
nis client : ypbind&
----& nis server: ypserv& #客户端访问服务器的 portmapper.服务器为客户端分配一个端口进行通讯
& & & & yppasswd-----&yppasswd& #提供用户在线修改口令
实验案例：构建一个nis集中认证服务器用于身份验证
nis server 的主机名为：
nis client 的主机名为：
在服务器上的配置如下：
安装 nis 认证服务器用于认证的服务软件包
[root@nis Server]# rpm -ivh ypserv-2.19-5.el5.i386.rpm
warning: ypserv-2.19-5.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID
Preparing... #################################### [100%]
1:ypserv #################################### [100%]
[root@nis Server]# service ypserv start
[root@nis Server]# chkconfig ypserv on
启动yppasswd 服务
[root@nis& ~]# service yppasswdd start
启动 YP 口令服务： [确定]
[root@a ~]# chkconfig yppasswdd on
编辑配置文件
[root@nis Server]# cd /var/yp/
[root@nis yp]# vim Makefile
23 NOPUSH=true #仅仅有一个服务器时不需要推送。多个服务器需要推送。
32 MINUID=500 #导入账号的起始用户账号
33 MINGID=500 #导入账号的起始组账号
61 YPSRCDIR = /etc
62 YPPWDDIR = /etc
63 YPBINDIR = /usr/lib/yp
64 YPSBINDIR = /usr/sbin
65 YPDIR = /var/yp
66 YPMAPDIR = $(YPDIR)/$(DOMAIN)
117 all: passwd group hosts \& #修改导入账号数据的来源
在nis服务器中添加域名
[root@nis yp]# vim /etc/sysconfig/network
3 HOSTNAME=
4 NISDOMAIN=abc
[root@a yp]# /usr/lib/yp/ypinit -m #将配置文件中指定的账号来源文件中的账号信息导入nis数据库中
At this point, we have to construct a list of the hosts which will run NIS
is in the list of NIS server hosts. Please continue to add
the names for the other hosts, one per line. When you are done with the
list, type a &control D&.
next host to add:
next host to add:
The current list of NIS servers looks like this:
Is this correct? [y/n: y] y
We need a few minutes to build the databases...
Building /var/yp/abc/ypservers...
gethostbyname(): Resource temporarily unavailable
Running /var/yp/Makefile...
gmake[1]: Entering directory `/var/yp/abc'
Updating passwd.byname...
Updating passwd.byuid...
Updating group.byname...
Updating group.bygid...
Updating hosts.byname...
Updating hosts.byaddr...
gmake[1]: Leaving directory `/var/yp/abc'
has been set up as a NIS master server.
Now you can run ypinit -s
on all slave server.
[root@nis ~]# cd /var/yp/
[root@nis yp]# ll
drwxr-xr-x 2 root root
drwxr-xr-x 2 root root -15 binding
-rw-r--r-- 1 root root
11:57 Makefile
-rw-r--r-- 1 root root 185
drwxr-xr-x 2 root root
12:01 (none)
-rw-r--r-- 1 root root 13 10-11 12:10 ypservers
[root@nis yp]# cd abc
[root@nis abc]# ll 总计 112 -rw------- 1 root root
17:04 group.bygid -rw------- 1 root root
17:04 group.byname -rw------- 1 root root
17:04 hosts.byaddr -rw------- 1 root root
17:04 hosts.byname -rw------- 1 root root
17:04 passwd.byname -rw------- 1 root root
17:04 passwd.byuid -rw------- 1 root root
12:11 ypservers
相关资讯 & & &
& (04/04/:58)
& (05/25/:05)
& (06/16/:29)
& (05/25/:22)
& (03/01/:33)
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款NIS系统管理 - Linux安全网 - Linux操作系统_Linux 命令_Linux教程_Linux黑客
Linux安全网 --- 专注Linux操作系统安全运维。
强烈推荐:Ylmf OS 3.0 正式版发布附迅雷高
XP系统下硬盘安装Fedora 14图文教程
&NIS（Network Infoation Service）网络信息系统，
是对主机账号等系统信息提供集中管理的网络服务。
NIS服务器为NIS客户机提供的信息不仅限于用户账号信息，在NIS服务器的数据库中包括以下几类信息：
*用户账号信息，包括用户名，登录口令和用户宿主目录等信息，用于取代Linux主机中的文件和shadow文件中的作用。
*组账号信息，包括组账号等，用于取代Linux主机中group文件的作用。
*IP地址与主机名称对应记录的信息，用于取代Linux主机中hosts文件的作用。
为了方便NIS客户机的查询，以上这些信息在NIS服务器中被保存在不同名称的数据库（文件）中进行集中管理。
NIS 服务器的安装 &非独立服务都需要xinetd 的管理。
& & & & & & & & & & & & & & & & 超级守护进程
使用NIS服务能够较好地解决用户账号集中管理的问题。
rpm -ivh ypserv-2.13-5.i386.rpm
在服务器版本4中需要设置 和time-udp 服务的启动状态
nis 服务器的运行需要time ,time-udp服务的支持
chkconfig time-udp on
service xinetd restart&
在NIS 服务器主机中建立NIS 域名
nisdomainname nistest
echo '/bin/nisdomainname nistest& && /etc/rc.d/rc.local
echo 'NISDOMAIN=nistest'&& /etc/sysconfig/network
ypserv.conf 文件的配置
NIS 服务器的主配置文件时ypserv.conf
配置文件中可设置对认证数据库的访问控制
& & & & & & & & & & & & &
& & & & & & & & & & & & &域 &本地的数据库 & & &安全级别
127.0.0.1/255.255.255.0 &： * & ： * & & & & & : none
securenets 安全配置文件
securenets 文件用于对NIS 客户端主机进行访问控制
securenets 文件需要手工建立
/var/yp/securenets
host 127.0.0.1
255.255.255.0 & 192.168.1.0
启动NIS 服务器
nis 服务器需要portmap 服务的支持，并且需要启动
ypserv ,yppassw 两个服务
service portmap us /start
service ypserv start
service yppasswdd start&
service ypbind restart
构建NIS 数据库 当改变用户信息后需要重新构建NIS 数据库
ypinit 构建nis 服务器的数据库文件
ypinit 命令按照&/var/yp&目录中的Make 文件的配置
内容构建数据库文件
/usr/lib/yp/ypinit -m
主机名的通过改变下面的文件来修改
vi /etc/sysconfig/network
NIS 客户机的配置和使用步骤
安装NIS 客户机软件包ypbind 和yp-tools两个软件包
设置hosts 文件中的NIS 服务器的主机记录
建立NIS 的域名&
设置yp.conf 配置文件
echo 'domain nistest server servername' &&/etc/yp.conf
设置nsswitch.conf 文件
启动ypbind 服务程序。
yp-tools 软件包中提供的命令
ypwhich -x
ypcat passwd
启动 客户机：
service portmap status&
service ypbind start
.客户端的检验
使用yptest、ypwhich、ypcat进行检验，关于命令的相关参数，可以用man命令查到。
在我做实验的过程中用yptest检验的时候发现错误。Can't communicate with ypbind
，通过检验发现NIS客户端的iptables处于状态，并阻止与NIS的通信。为了方便我用service iptables stop关掉防火墙。再次检验通过
并在服务器端启动 service ypbind start
yptest测试错误
WARNING: No ch key in map (Map passwd.byname, key nobody) 这条信息可以忽略，是因为nobody 号的问题
最新图文资讯
相关文章列表:
理智评论文明上网，拒绝恶意谩骂
关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 发展历史保护 NIS 的安全红帽企业 Linux 4: 安全指南后退第 5章 . 服务器安全前进5.3. 保护 NIS 的安全 NIS 代表网络信息服务（Network Information Service）。它是叫做 ypserv 的 RPC 服务，和 portmap 以及其它相关服务一起使用，被用来为属于 NIS 域内的计算机间分发关于用户名、口令、以及其它保密信息的映射表。
NIS 服务器包括几个应用程序。它们是： /usr/sbin/rpc.yppasswdd — 又称 yppasswdd 服务，该守护进程允许用户改变他们的 NIS 口令。 /usr/sbin/rpc.ypxfrd — 又称 ypxfrd 服务，该守护进程负责在网络上传输 NIS 映射表。 /usr/sbin/yppush — 该应用程序把 NIS 数据库的改变传播给多个 NIS 服务器。 /usr/sbin/ypserv — 这是 NIS 服务器守护进程。 按照今天的标准来看，NIS 不太安全。它没有主机验证机制，在网络上明文传输所有的信息，包括口令散列。结果是，在设置使用 NIS 的网络时你必须格外谨慎。更糟糕的是，默认的 NIS 配置就有其固有的不安全性。
推荐任何打算实现 NIS 服务器的用户首先按照第 5.2 节的步骤来保护 portmap 服务的安全，然后再解决下面的问题，如网络规划。 5.3.1. 谨慎制定网络计划 因为 NIS 在网络上明文传输保密信息，所以令服务器在防火墙背后的一个安全的网络段上运行就很重要。无论何时在不安全的网络上传递 NIS 信息都有被截取的危险。从这个角度讲，谨慎制定网络计划就有助于防御严重的安全破坏。 5.3.2. 使用像口令一样的 NIS 域名和主机名 NIS 域内的任何机器都不经验证就可以使用命令从服务器中抽取信息，只要用户知道 NIS 服务器的 DNS 主机名和 NIS 域名即可。
例如：如果某人把便携电脑连接到网络上，或从外部闯入了网络（而且成功地假冒了内部 IP 地址），以下命令会揭示 /etc/passwd 映射表： ypcat -d <NIS_domain> -h <DNS_hostname> passwd 如果攻击者是一个根用户，他就可以通过键入以下命令来获得 /etc/shadow 文件： ypcat -d <NIS_domain> -h <DNS_hostname> shadow注记& 如果使用了 Kerberos，/etc/shadow 文件就不会保存在 NIS 映射表中。
要使攻击者不能够轻易地获取 NIS 映射表，你可以为 DNS 主机名创建一个随机字符串，比如 。同理，你还可以创建一个不同的随机 NIS 域名。这就令攻击者进入 NIS 服务器比较困难。 5.3.3. 编辑 /var/yp/securenets 文件 如果 /var/yp/securenets 文件是空白的或不存在（按默认方式安装后的情形就会如此），NIS 就会监听所有网络。你所要做的第一件事是在文件中放置一对子网掩码/网络值，因此 ypserv 只会对来自恰当网络的请求做出答复。
以下是 /var/yp/securenets 文件中的示例项目： 255.255.255.0
192.168.0.0警告& 在首次使用 NIS 服务器前，决不能没有创建 /var/yp/securenets 文件就启动它。
这种技术并不提供对 IP 假冒攻击的保护，但是它至少限制了 NIS 服务器要为哪些网络提供服务。 5.3.4. 分配静态端口，使用 IPTables 规则 所有和 NIS 相关的服务器都可以被分配给指定的端口，只有 rpc.yppasswdd 例外 — 该守护进程允许用户改变他们自己的登录口令。给其它两个 NIS 服务器守护进程，rpc.ypxfrd 和 ypserv 分配端口可以允许管理员创建防火墙规则来进一步保护 NIS 服务器守护进程免受入侵者的骚扰。
要达到这个目的，把以下几行添加到 /etc/sysconfig/network 中： YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835" 以下 IPTables 规则可以被用来实施服务器会监听哪些网络上的这些端口。 iptables -A INPUT -p ALL -s! 192.168.0.0/24
--dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24
--dport 835 -j DROP窍门& 关于使用 IPTables 命令实现防火墙的详情，请参阅第7章 。 5.3.5. 使用 Kerberos 验证 使用 NIS 验证的一个最明显的固有缺陷是，无论何时用户在机器上登录，/etc/shadow 映射表中的口令散列都会在网络上发送。如果入侵者获得了到 NIS 域的进入权，并且开始嗅探网络交通，他就可以悄悄地收集用户名和口令散列。只要有足够的时间，口令破译程序就可以猜出薄弱的口令，攻击者就可以获得对网络上有效帐号的使用权。
由于 Kerberos 使用密钥加密技术，口令散列就决不会在网络上传送，从而使系统更加安全。关于 Kerberos 的详情，请参阅《红帽企业 Linux 参考指南》的“Kerberos”这一章。 后退起点前进保护 Portmap 的安全性上级保护 NFS 的安全