2.2.3. Het beveiligen van NIS

Het Network Information Service (NIS) is een RPC service, ypserv genaamd, welke wordt gebruikt in combinatie met portmap en andere gerelateerde services om overzichten van gebruikersnamen, wachtwoorden en andere gevoelige informatie te verspreiden naar elke computer die beweert zich binnen het domein te bevinden.

Een NIS server wordt opgebouwd met verscheidene toepassingen. Ze omvatten de volgende:

/usr/sbin/rpc.yppasswdd — Ook de yppasswdd service genoemd, deze daemon staat gebruikers toe om hun NIS wachtwoorden te veranderen.
/usr/sbin/rpc.ypxfrd — Ook de ypxfrd service genoemd, deze daemon is verantwoordelijk voor NIS map verplaatsingen over het netwerk.
/usr/sbin/yppush — Deze toepassing geeft veranderde NIS databases door aan meerdere NIS servers.
/usr/sbin/ypserv — Dit is de NIS server daemon.

NIS is een beetje onveilig naar de hedendaagse standaarden. Het heeft geen host authenticatie mechanisme en verstuurt alle informatie onversleuteld over het netwerk, inclusief wachtwoord hashes. Daarom moet bijzondere zorg in acht genomen worden bij het opzetten van een netwerk dat NIS gebruikt. Dit wordt verder ingewikkeld gemaakt door het feit dat de standaard instelling van NIS inherent onveilig is.

Het wordt aanbevolden om iedereen die van plan is een NIS server te maken, eerst de portmap service beveiligt zoals aangegeven in Paragraaf 2.2.2, “Portmap beveiligen”, en daarna de volgende zaken beschouwt, zoals netwerk planning.

2.2.3.1. Plan het netwerk zorgvuldig

Omdat NIS gevoelige informatie onversleuteld over het netwerk verstuurt, is het belangrijk dat de service achter een firewall en op een opgedeeld en veilig netwerk draait. Telkens wanneer NIS informatie over een onveilig netwerk wordt verstuurd, loopt het een risico om onderschept te worden. Zorgvuldig netwerk ontwerp kan ernstige beveiligings schendingen helpen voorkomen