Bundesamt für Sicherheit in der Informationstechnik

M 5.18 Einsatz der Sicherheitsmechanismen von NIS

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

NIS (Network Information Service) lässt sich nicht ohne schwerwiegende Sicherheitslücken betreiben und sollte deshalb nur in einer sicheren Umgebung eingesetzt werden.

Für einen NIS-Server gilt folgendes:

  • In der Passwortdatei /etc/passwd darf der Eintrag +::0:0::: nicht enthalten sein, da sonst ein Zugang mit dem Namen "+" ohne Passwort existiert. Sollte der Eintrag notwendig sein, muss das Passwort durch ein "*" ersetzt werden (überprüfen, ob der Zugang wirklich gesperrt ist!). Trotzdem bleibt die Gefahr, dass bei einer versehentlichen Löschung der ersten Spalte (das "+") ein privilegierter Zugang ohne Passwort und ohne Benutzername möglich ist!
  • Analoges gilt für die Gruppendatei /etc/group und alle anderen sicherheitsrelevanten Dateien, die über NIS netzweit zugänglich gemacht werden sollen, wie z. B. /etc/hosts, /etc/group oder /etc/bootparams.
  • Der Server-Prozess ypserv sollte nur Anfragen von vorher festgelegten Rechnern beantworten.

Für einen NIS-Client gilt folgendes:

  • Der Eintrag +:*:0:0::: in der Passwortdatei /etc/passwd sollte dokumentiert werden (siehe M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile ), und es muss auf jeden Fall ein Eintrag im Passwortfeld vorhanden sein, damit nicht im Falle einer (beabsichtigten oder nicht beabsichtigten) Nichtbenutzung von NIS versehentlich ein Zugang mit dem Benutzernamen "+" ohne Passwort geschaffen wird.
  • Analoges gilt für die Gruppendatei /etc/group und alle anderen sicherheitsrelevanten Dateien, die über NIS netzweit zugänglich gemacht werden sollen.
  • Der Client-Prozess ypbind sollte nur Daten akzeptieren, die von einem privilegierten Port kommen, da er ansonsten Daten (auch Passwörter!) von jedem beliebigen Prozess, der sich als Server ausgibt, bekommen könnte.
  • Um zu verhindern, dass der NIS-Administrator auf allen NIS-Clients root-Rechte hat, sollte auf jedem NIS-Client ein lokaler Benutzer mit der UID 0 eingerichtet werden.
  • Es muss beachtet werden, dass NIS zunächst die lokalen Dateien nach passenden Einträgen absucht, so dass z. B. die Einträge
    root::0:0:::
    +:*:0:0:::

    in der /etc/passwd dazu führen, dass nicht das root-Passwort aus der NIS-Map benutzt wird, sondern der erste Eintrag ohne Passwort.

Prüffragen:

  • Wird NIS (Network Information Service) nur in einer sicheren Umgebung eingesetzt?

  • Werden die Sicherheitsmechanismen von NIS sowohl für Server als auch Clients genutzt?

Stand: 13. EL Stand 2013