[linux-l] Alternativen zu Samba + NIS/NFS..

Steffen Schulz pepe_ml at gmx.net
So Mär 11 22:00:35 CET 2007 

On 070311 at 15:20, Peter Ross wrote:
> On Sun, 11 Mar 2007, Steffen Schulz wrote:
> > Das Subnetz
> > haengt an einer eigenen NIC am Server, sodass die Leute nicht die Viren
> > von zu Hause einschleppen.
> Wie verhindert es das? 

Na der typische Virus/Wurm will Verbindung nach draussen, so smtp oder irc.
Ausserdem hat er vllt ne Verbreitungsautomatik oder ein ferngesteuerter
Rechner macht mal nen Portscan und guckt was so laeuft. Das diese
(wenigen) Rechner in einem Subnetz sind und durch den Server von den
fest installierten Rechnern und dem Internet(bis auf http) abgeschottet
sind, erledigt in der Praxis bestimmt 95% aller Problemfaelle.

Das man, wenn so ein Client erstmal kompromittiert wurde, eigentlich
immer ne Moeglichkeit hat, sich weiter auszubreiten, ist klar. Man kann
zB die Daten manipulieren auf die der User vom Laptop aus zugreift und die
auch im internen Netz vorhanden sind. Oder fremde Laptops angreifen. Oder
versuchen aus dem Subnetz ins richtige Netz zu kommen. Oder traffic
abhoeren.

Aber das sind halt die Anforderungen. Privatgeraete zu verbieten ist
nicht sinnvoll, Privatgeraete nicht am Netz zu haben ebenso wenig.
Man koennte einige Dosen+Kabel fuer Laptops reservieren, dann wuerde
eine eigene NIC(ja, es ist nur eine 2. IP auf der NIC) auch was bringen
und man kann nicht mehr sniffen.

> > Ich will nun mal gucken, ob man das auf sinnvoll auf andere Techniken
> > umstellen kann.
> Was exakt gefaellt Dir nicht?

Ich will Protokolle und Mechanismen benutzen, die nicht per se ein
Sicherheitsproblem sind. Mit NFS wird momentan ip-basierte Sicherheit
gemacht, von NIS hab ich bisher nur negatives gehoert. CIFS waere wohl
vertretbar, auch wenn ich von denen nur kaputte
Authentifikationsmechanismen in Erinnerung habe. Muss man mal pruefen.
Ist vermutlich halb so wild, weil die Herrn Professoren eh Passwoerter
von minimaler Komplexitaet haben.

LDAP wurde vorgeschlagen. Hab ich auch schon drueber nachgedacht.
Mit md5digest ist das grob so sicher wie der Windows-Login am
Domaenencontroller. Und mit Zertifikaten kann man auf Wunsch auch
echte Sicherheit haben..

Und weil ich den NIS/Samba-Mix sowieso ueberarbeiten muss ist halt die
Frage, ob man da nicht was zeitgemaesses einsetzen kann.

> > "Daten im Netz" stellt ein Problem dar. Ich hab gesehen dass NFSv4 mit
> > Kerberos kann, aber die Windows-Clients sind offenbar kostenpflichtig.
> Auch NFS V3 kann man mit Kerberos einsetzen.
> 
> Wenn ich richtig informiert bin, kommt NFS V3 auch mit einem MS-Paket, 
> "Unix-Services fuer Windows" oder so aehnlich genannt.
> 
> Ob diese NFS-client-Implementierung allerdings Kerberos kann, da bin ich 
> ueberfragt.

hmmm..

> > Zentrale Logins, Daten auf dem Server und roaming profiles sollen
> > behalten werden.
> 
> Roaming profiles zentral auf einem Linux-Rechner geht meines Wissens nur 
> mit Samba.. und wenn Du das schon hast, kannst Du ja auch gleich den Rest 
> mit Samba erschlagen.
> 
> Notfalls auch die Linux-Buechsen mit Sambaclient, wenn Dir das lieber ist 
> als NFS..

Mit Linux smbmount machen waere was. Aber das sollte funktionieren ohne
nochmal nach einem Passwort zu fragen. So generell wuerde das ja gehen,
ich will nach der user-auth ein Ticket fuer samba haben. Nur gibts das
auch schon fertig verpackt?

Per script ginge auch, das ist dann wieder die unsichere Variation
davon..

> Du kannst die Sicherheit um eine Stufe erhoehen, indem Du nur 
> IPSec-Verbindungen zulaesst, mit ordentlichem Keymanagement.

Hm. Ob das den Aufwand wert ist?

Es wuerde auf jeden Fall das sniffing verhindern. Aber ein solcher
Angreifer ist bereits im Netz und kann selbst im Fremdgeraete-Subnetz
noch Logins bruteforcen, weil Fremdgeraete ja Zugriff auf
"Netzwerkdaten" haben sollen. Okay, dann muss er diese wenigstens online
bruteforcen, eine mitgeschnittene challenge-response-session gibts
nicht mehr. Dann muessen aber auch alle Fremdgeraete IPSec machen, weil
man sich untereinander Logins klauen koennte.

Also wenn man faktischen Mehrwert haben will, muessen wirklich alle
IPSec machen und das ist ja auch wieder recht aufwaendig. Weil man hat
ja keinen Einfluss darauf was Hinz und Kunz fuer kaputte Kisten
anschleppen.

Das ist aber auch der Grenzfall. Ich wuerd mich schon freuen, wenn nicht
10 Server laufen muessen und wenn die Protokolle nicht total trivial
knackbar sind. Momentan sind die hashes fuer htaccess, NIS und Samba in
einer mysql-DB und werden in die configs gesynct. Das ist von meinem
Vorgaenger und es ist nicht super toll. Aber die zwei Skripte gegen
LDAP einzutauschen ist ja nun auch nicht so grandios viel besser. Weil
die mysql-db ist sowieso da, fuer PHP und interne Website.

> Fuer die Nutzerverwaltung geht natuerlich auch LDAP oder Active Directory.
> 
> Du kannst natuerlich auch Fileserver und Nutzerverwaltung direkt auf 
> Windows-Servern stattfinden lassen, Linux kann darauf via Sambaclient und 
> LDAP (slapauthd) zugreifen.

Windows als Server eroeffnet mir ganz neue Welten, mit
Remoteadminstation, AD, group policies und so. Meinst du es ist
zeitgemaess, sowas heute noch zu lernen? :-)

Also meine Allergie und der Lernbedarf sprechen dagegen. Lernbedarf ist
natuerlich auch ein Punkt dafuer, aber nicht in dieser Situation..

Aber siehe oben, wenn ich von Linux aus den Samba anspreche und damit
SingleSignOn hinbekomme oder wenigestens simulieren kann, ginge das ja
schon. Aktuelles CIFS ist doch bestimmt einigermassen gescheit
authentifiziert und verschluesselt? Fragt sich dann wieder ob Samba und
das alte WinXP sowas koennen. Mal gucken..

> Stattdessen noch etwas Exotischeres, was weder Linux noch Windows von 
> zuhause mitbringen, zu verwenden, klingt mir gewagt.

Stimmt schon. Ich hoffe halt nur auf eine Loesung, die den Kram mal
unter einen Hut bringt. Das Problem gibts ja nun nicht erst seit
gestern..


Thin-clients fallen flach weil die Leute auf ihren Rechnern auch
rechnen wollen. Jeder ein paar Stunden, gerade so viel, dass es
fraglich ist, ob sich dedizierte Rechenmaschinen lohnen.
"Netzdaten" sind wenige GB pro Nutzer und es soll davon
taeglich ein Backup erstellt werden, weil daran natuerlich keiner
denkt. Zusaetzlich darf man lokal eine brach liegende Partition
zumuellen und muss sich dann selbst ums backup kuemmern.

Deswegen sollten die Rechner auch untereinander aufeinander zugreifen
koennen. Bisher ist die Lsg dafuer, dass man Linux(derzeit FreeBSD)
auf der Quelle booten muss und dann per ftp mit userlogin zugreift.
Mit sftp sollte das dann ebenso gut und besser gehen.


Ich danke euch beiden fuer den input,
Steffen
-- 
       _----------------
 (o< ·-_    Less CO2    |  _o)                          +49/1781384223
 //\    | for more ice! |  /\\  .o) .o)        gpg --recv-key A04D7875
 V_/_    ---------------  _\_V _(\)_(\)    mailto: pepe at cbg.dyndns.org

Mehr Informationen über die Mailingliste linux-l