48.2.3. NIS のセキュア化
ネットワーク情報 サービス(NIS)は、ypserv と呼ばれる RPC サービスで、portmap およびその他の関連サービスとともに使用して、ユーザー名、パスワード、およびその他の機密情報のマップを、そのドメイン内にあるように要求するコンピューターに配布します。
NIS サーバーは、複数のアプリケーションで設定されています。内容は以下の通りです。
- /usr/sbin/rpc.yppasswdd — yppasswdd サービスとも呼ばれるこのデーモンを使用すると、ユーザーは NIS パスワードを変更できます。
- /usr/sbin/rpc.ypxfrd — ypxfrd サービスとも呼ばれるこのデーモンは、ネットワークを介した NIS マップ転送を担当します。
- /usr/sbin/yppush: このアプリケーションは、変更した NIS データベースを複数の NIS サーバーに伝播します。
- /usr/sbin/ypserv — これは、NIS サーバーデーモンです。
NIS は現在の基準からすると、やや安全性に欠けています。ホスト認証メカニズムがなく、パスワードハッシュを含むすべての情報を暗号化せずにネットワーク経由で送信します。そのため、NIS を使用するネットワークを構築する際には、細心の注意が必要です。さらに、NIS のデフォルト設定が本質的に安全でないという事実が、この問題をさらに複雑にしています。
NIS サーバーの実装を計画している方は、「ポートマップのセキュリティー保護」 で説明されているように、最初に portmap サービスをセキュリティー保護し、ネットワーク計画などの次の問題に対処することが推奨されます。
48.2.3.1. ネットワークの注意深いプランニング
NIS はネットワーク上で機密情報を暗号化せずに送信するため、サービスをファイアウォールの内側で、そしてセグメント化された安全なネットワーク上で実行することが重要となります。NIS 情報が安全でないネットワークを介して送信される場合は常に、傍受されるリスクがあります。慎重なネットワーク設計は、深刻なセキュリティー侵害を防ぐ上で役立ちます。