[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:3949] Re: 京都大学メディアセンターのパスワード
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:3949] Re: 京都大学メディアセンターのパスワード
- From: SAKIYAMA Nobuo <sakichan@xxxxxxxxxxxx>
- Date: Tue, 07 May 2002 01:02:16 +0900
At Tue, 07 May 2002 00:25:00 +0900,
MASAOKA Hajime wrote:
> まみやさんの書かれたように、ypcat を使ったからでは。
> ふつー ypcat は一般ユーザに実行権限は与えませんよね。
well known な OS でしたら、よそからバイナリをコピーしてきておわり、な
のでは。
# ypcat は通常 suid root されません。
で、NIS と パスワードの map の関係ですが、
1. SunOS 4.x では shadow はありません。
2. SunOS 5.x (Solaris 2.x, 7, 8)では file としては shadow がありますけど、
NIS での管理となると shadow の内容を passwd.byname 等に突っ込みます。
SunOS 5.x 的には、そのレベルで対策が必要なら NIS+ 使え、という感じ。
3. FreeBSD では shadow である master.passwd を 別の map として扱い、特
権ポートからの要求に限り中身を返すということができる。TCP wrapper サポー
トもあり。
(他のBSD系OSや Linux の各distribution については私は知りません...)。
という形になっています。SunOS 5.x 的にはどうしようもなく、FreeBSD 的に
は、
物理的にマシンとハブ・スイッチ類を全部確実に管理して許可されないマシン
がつながれることがありえず、フィルタをガチガチにかけて Windows 系マシ
ン等から NIS をひける状況はありえず、さらに当然全てのマシンは フロッピー
boot できない
という状態で、はじめて悪意のユーザの パスワードのハッシュ値へのアクセ
スをある程度防げる、ということになるのではないかなぁ、と思います。
--
SAKIYAMA Nobuo (崎山 伸夫) sakichan@xxxxxxxxxxxx
--[PR]------------------------------------------------------------------
■プロが教えるホームページ制作の注意ポイント!■
・ターゲット?
・気になる数字?
・信頼感?
もっとみる→ http://www.omakaseweb.com/create/point/?mid=102895
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp