Linux podrecznik administratora sieci

[ Pobierz całość w formacie PDF ]
.W pe�nym li stin gu ls wy Swie-tla na zwy sym bo licz ne u�yt kow ni ka i gru py, któ rzy s� w�aSci cie la mi pli ku.To zna-czy, �e w przy pad ku na po tka nia ka � de go uid i gid po le ce nie mu si za da� za py ta niedo ser we ra NIS.Za py ta nie NIS trwa nie co d�u�ej, ni� rów no wa �ne prze szu ki wa-nie pli ku lo kal ne go.Mo�e si� oka za�, �e umiesz cze nie w NI S-ie in for ma cji z pli kówpasswd i group znacz nie zmniej sza wy daj noS� pro gra mów, któ re cz� sto ko rzy staj�z tych in for ma cji.To jeszcze nie wszystko.Wyobrax sobie, co si� stanie, je�eli u�ytkownik zechcezmie ni� has�o.Zwy kle wy wo�uje on po le ce nie passwd, któ re wczy tu je no we has�o iuak tu al nia lo kal ny plik passwd.Jest to nie mo �li we w przy pad ku NI S-a, gdy� plik niejest nig dzie do st�p ny lo kal nie, a lo go wa nie si� u�yt kow ni ków do ser we ra NIS za ka-�dym ra zem, gdy chc� oni zmie ni� has�o, nie jest ta k�e do brym roz wi�za niem.Dla-te go NIS udo st�p nia za st�p c� passwd po le ce nie yppasswd, któ re obs�ugu je zmian�has�a w NI S-ie.Aby zmie ni� has�o na ser we rze, ��czy si� ono przez RPC z de mo nemyppasswdd na tym ser we rze i prze ka zu je mu ak tu al ne in for ma cje o ha S le.Zwy kle in-sta lu je si� yppasswd, za miast nor mal ne go po le ce nia passwd, w na st� puj�cy spo sób:# cd /bin# mv passwd passwd.old# ln yppasswd passwd242 Roz dzia� 13: Sys tem in for ma cji sie cio wejW tym sa mym cza sie mu sisz za in sta lo wa� na ser we rze pro gramrpc.yppasswdd i uru-chomi� go ze skryptu sieciowego.Spowoduje to ukrycie przed u�ytkownikamiwi�kszo Sci dzia�a� NI S-a.U�ywanie NIS-a z obs�ug� hase� shadowKo rzy sta nie z NI S-a w po��cze niu z pli ka mi ha se� sha dow jest nie co k�opo tli we.Naj-pierw z�e wia do mo Sci: NIS pod wa �a sens u�y wa nia ha se� sha dow.Sche mat ha se�shadow zo sta� za pro jek to wa ny po to, by za bro ni� u�yt kow ni kom nie po sia daj�cymprawa roota dost�pu do zaszyfrowanej postaci hase�.U�ywanie NIS-a dowspó�dzie le nia da nych shadow po wo du je ko niecz noS� udo st�p nie nia za szy fro wa-nych ha se� oso bom, któ re pods�uchuj� od po wie dzi ser we ra NIS w sie ci.Roz wi�za-nie po le gaj�ce na zmu sza niu lu dzi do wy bo ru do brych ha se� jest zde cy do wa nielep sze, ni� próba u�y wa nia ha se� sha dow w Sro do wi sku NIS.Przyj rzyj my si� szyb-ko, jak to zro bi�.W libc5 nie ma praw dzi we go roz wi�za nia po zwa laj�ce go na wspó�dzie le nie da nychshadow za pomoc� NIS-a.Jedynym sposobem na rozpowszechnianie informacjio u�yt kow ni kach i has�ach przez NIS jest u�y cie stan dar do wych map passwd.*.Je-�eli masz zainstalowane has�a typu shadow, najprostszym sposobem na ich roz-sy�anie jest ge ne ro wa nie od po wied nie go pli ku passwd na pod sta wie /etc/shadow zapo moc� na rz� dzi ta kich, jak pwuncov, i two rze nie map NI S-a na pod sta wie uzy ska-ne go pli ku.Oczyw iScie wy myS lono kil ka zab iegów, któ re umo� liwi aj� u�yw anie ha se� shad owi NI S-a w tym sa mym cza sie, jak na przyk�ad in stal acja pli ku /etc/shadow na ka �dymho Scie w sie ci i dys tryb uow anie in form acji o u�ytk owni kach przez NI S-a.Jed nak tasztucz ka jest na prawd� pry mit ywna i w za sad zie za prze cza istocie NI S-a, kt óry mau�atwia� ad min ist rowan ie sys tem em.Obs�uga NI S-a w bi blio te ce GNU libc (libc6) uwzgl�d nia has�a ty pu sha dow.Nie za-pew nia �ad ne go roz wi�za nia, któ re udo st�p nia�oby has�a, ale uprasz cza zarz�dza-nie has�ami w Sro do wi skach, w któ rych chcesz u�y wa� i NI S-a, i ha se� sha dow.Abyto zro bi�, mu sisz stwo rzy� ba z� da nych shadow.byname i do da� po ni� szy wiersz doswo je go pli ku /etc/nsswitch.conf:# Obs�uga hase� typu shadowshadow: compatJeSli u�ywasz hase� shadow wraz z NIS-em, musisz przestrzega� pewnej zasadybez pie cze �stwa i ogra ni czy� do st�p do ba zy da nych NIS.Przy po mnij so bie pod roz-dzia� Bez pie cze �stwo ser we ra NIS z te go roz dzia�u.14Sieciowy systemplikówRoz dzia� 14: Sie cio wy sys tem pli kówSie cio wy sys tem pli ków (Ne twork Fi le Sys tem NFS) jest praw do po dob nie naj bar dziejznan� us�ug� opart� na RPC.Po zwa la ona na do st�p do plików znaj duj�cych si� naho Scie zdal nym dok�ad nie w taki sam sposób, w ja ki masz do st�p do plików lo kal-nych.Ta ki do st�p sta� si� mo �li wy dzi� ki po��cze niu pro ce dur obs�ugi w j�drze i de-monów prze strze ni u�yt kow ni ka po stro nie klien ta z ser we rem NFS po stro nie ser-we ra.Jest on zu pe�nie prze zro czy sty dla klien ta i dzia�a po mi� dzy ró �ny mi ar chi tek-tu ra mi ser we ra i ho sta.NFS ofer uje sze reg przy datn ych funk cji:� Dane wy ko rzy sty wa ne przez wszyst kich u�ytko wników mog� by� prze cho wy wa-ne na cen tral nym ho Scie, kt órego ka ta lo gi klien ty mon tuj� w cza sie uru cha mia nia.Na przyk�ad mo�esz prze cho wy wa� wszyst kie kon ta u�y tkowników na jed nymho Scie, z kt órego b� dziesz mon to wa� ka ta log /home na wszyst kich po zo sta�ych.Je-�eli NFS jest zainstalowany wraz z NI S-em, u�yt kow ni cy mog� lo go wa� si� dodo wol ne go sys te mu i wci�� pra co wa� na jed nym ze sta wie pl ików.� Dane zajmuj�ce du�o miejsca na dysku mog� by� przechowywane na jednymhoScie.Na przyk�ad wszyst kie pli ki i pro gra my zwi�zane z La TeX-em i ME TA-FON T-em mog� by� prze cho wy wa ne i zarz�dza ne w jed nym miej scu.� Dane ad min ist racyj ne mog� by� prze chow ywa ne na osobn ym ho Scie.Nie ma po-trzeby u�yw ania rcp do in stal acji tego sa me go g�upiego pli ku na dwudziestu ró�-nych kom put era ch.Kon fi gu ro wa nie pod sta wo wych ope ra cji NFS po stro nie klien ta i ser we ra nie jesttrud ne.Oma wia to ten roz dzia�.NFS dla Linuk sa to g�ów nie zas�uga Ric ka Slad keya*, któ ry na pi sa� kod NFS-a dlaj�dra i du�� cz� S� ser we ra NFS.Ten ostat ni zo sta� opra co wa ny na pod sta wie ser we-* Z Ric kiem mo�esz skon tak to wa� si� pod ad re sem jrs@world.std.com.244 Roz dzia� 14: Sie cio wy sys tem pli kówra unfsd, któ re go au to rem jest Mark Shand, i na pod sta wie ser we ra NFS hnfs, na pi-sa ne go przez Do nal da Bec ke ra.Przyj rzyj my si�, jak dzia�a NFS.Naj pierw klient pró bu je za mon to wa� ka ta log z ho-sta zdal ne go w ka ta lo gu lo kal nym, tak jak by mon to wa� fi zycz ne urz�dze nie.Jed naksk�ad nia u�y wa na do okre Sle nia zdal ne go ka ta lo gu jest in na.Na przyk�ad, aby za-mon to wa� /home z ho sta vlager w ka ta lo gu /user na ho Scie vale, ad mi ni stra tor wy da-je na st� puj�ce po le ce nie na ho Scie vale*:# mount -t nfs vlager:/home /usersmount podejmie prób� skomunikowania si� przez RPC z de mon em rpc.mountddzia�aj�cym na ho Scie vlager.Serwer sprawdzi, czy vale ma prawo zamontowa濹da ny ka tal og.Je �eli tak, zwróci uchwyt pli ku.Ten uchwyt b� dzie u�yw any wewszyst kich ko lejn ych od wo�aniach do plików w ka tal ogu /users.Gdy ktoS do sta je si� do pli ku przez NFS, j�dro wy sy�a wy wo�anie RPC do rpc.nfsd(de mo na NFS) na ma szy nie ser we ra.To wy wo�anie w pa ra me trach za wie ra uchwytpli ku, na zw� pli ku, do któ re go si� chce my do sta�, i ID u�yt kow ni ka oraz gru py te go,kto chce si� do sta�.S� one wy ko rzy sty wa ne przy usta la niu praw do st� pu do za da-nego pliku.Aby unie mo �li wi� nie upraw nio nym u�yt kow ni kom od czy ty wa nie lub mo-dy fi ko wa nie pli ków, ID u�yt kow ni ka i gru py musz� by� ta kie sa me na obu ho stach [ Pobierz całość w formacie PDF ]

download @ ebook @ pdf @ pobieranie @ do ÂściÂągnięcia

Tematy