Several years ago I noticed a big issue with NIS security at Sun, which I promptly reported hoping for a patch.数年前に気付いた国情院の安全保障に大きな問題がある太陽、それを望んで速やかに報告する修正プログラムです。 Today I found out it is still there.今日の私が見つかりましたすることはまだそこにあった。 Hopefully a full disclosure will help solve it.うまくいけば解決するために完全に開示することに役立つ。 In typical NFS-NIS setup, users on NIS client machines login to their NIS accounts (like Windows users login to their domain server).典型的なNFS -国情院のセットアップでは、国情院のユーザは、クライアントマシンにログインして、国情院のアカウント(のようなWindowsユーザにログインして、そのドメインサーバー)です。 Normally root access in local machines are provided to users to make it easy to install software.ローカルマシンは通常、 rootのアクセス権をユーザーに提供されるソフトウェアのインストールを容易にします。 In NIS, by default, root squash feature is implemented which prevents local root account from accessing NIS mounted directories.国情院は、デフォルトでは、ルートスカッシュを防止する機能は、ローカルのrootアカウントを実装国情院のマウントディレクトリにアクセスします。 So far so good.これまでのところは良いです。 However, unknown to most, a bug in NIS implementation allows local root accounts to access all information in any NIS users accounts.しかし、未知のほとんどのは、国情院のバグが実装により、ローカルのrootアカウントにアクセスするユーザーアカウントのすべての情報は任意の国情院です。

So if you only have access to your local machine (as root) then you will be able to view all the NIS mounted home directories of all NIS users, even if they never logged in to your machine.これにアクセスする場合にのみお客様のローカルマシン( rootで)を入力し、表示することができますマウント国情院のすべてのユーザのホームディレクトリのすべての国情院の場合でも、決してログに記録して、お使いのマシンです。 This effectively makes all account data like emails, programs etc. visible, even that of your boss, to almost everyone else.これにより、すべてのアカウントデータのような電子メールを効果的には、次のプログラム等も、あなたの上司が、みんなを体のほぼです。 In short an ideal recipe for insider attack.要するにインサイダー理想的な攻撃のための秘策です。

The way to accomplish is deceptively simple.コロンブスの卵を達成する方法は簡単です。
But first assure yourself that as a root you cannot indeed access any NIS account’s home directories.しかし、最初の確保のルートとして、ユーザー自身が実際にアクセスすることはできません任意の国情院のアカウントのホームディレクトリです。 Suppose there is a NIS user whose login is angsuman.仮定には、ユーザーのログインが国情院のAngsumanです。 Now as a root try to access ~angsuman.今すぐにアクセスしようとするルートとしてのAngsumanです。 You will be denied access.表示されるアクセスを拒否します。

All you have to do is su angsuman instead.あなたがこれを行うには、 スのAngsumanの代わりにします。 You will now be logged in as NIS user angsuman.あなたは今すぐに記録されるユーザーのAngsumanとして国情院です。 Now you can access all the data belonging to user angsuman.今すぐアクセスすることができますに所属するユーザーのすべてのデータのAngsumanです。 Just cd ~angsuman and have fun. 〜のAngsumanそして楽しい時間を過ごすだけのCDです。 It is that simple!それは単純な!

How to protect your company as a system administrator?あなたの会社を保護する方法についてシステム管理者としてのですか?
Either you have to move away from NIS based authentication or you will have to restrict access to local root account.のいずれかに移動する必要がベースの認証や国情院からのアクセスを制限する必要がありますローカルのrootアカウントをします。 This has the downside of requiring more system administration work and potentially creating more bottlenecks.これは、他のシステム管理作業が必要なの影の部分と潜在的に他のボトルネックを作成します。