2.2.3. Protegendo o NIS
A Network Information Service (NIS) é um serviço RPC, chamado
ypserv, que é usado em conjunto com o portmap e outros serviços relacionados para distribuir mapas de nomes de usuários, senhas e outras informações sensíveis a qualquer computador alegando estar dentro do domínio.
Um servidor NIS compreende de diversas aplicações. Elas incluem o seguinte:
/usr/sbin/rpc.yppasswdd— Também chamado serviçoyppasswdd, este daemon permite usuários alterar suas senhas NIS./usr/sbin/rpc.ypxfrd— Também chamado serviçoypxfrd, este daemon é responsável por transferências de mapas NIS pela rede./usr/sbin/yppush— Esta aplicação propaga bancos de dados NIS para múltiplos servidores NIS./usr/sbin/ypserv— Este é o daemon do servidor NIS.
O NIS é um pouco inseguro para os padrões de hoje. Ele não possui mecanismos de autenticação e transmite todas suas informações pela rede sem criptografia, incluindo senhas hash. Como um resultado, cuidado extremo deve ser tomado quando configurar uma rede que usa o NIS. Isto é mais complicado pelo fato que a configuração padrão do NIS é inerentemente insegura.
É recomendado que qualquer um que esteja planejando implementar um servidor NIS, primeiro proteja o serviço
portmap conforme descrito na Seção 2.2.2, “Protegendo o Portmap”, em seguida, aborde as seguintes questões, como planejar a rede.
2.2.3.1. Planeje a Rede Cuidadosamente
Por causa que o NIS transmite informações sensíveis sem criptografia pela rede, é importante que o serviço seja rodado por trás de um firewall e em uma rede segmentada e segura. Sempre que a informação NIS é transmitida por uma rede insegura, há riscos de ser interceptada. Um planejamento de rede cuidadoso pode ajudar a impedir grandes brechas na segurança.
