Недостатки аутентификации NFS

NFS (Network Filesystem) - это разработанный фирмой Sun сетевой протокол

Для подключения удаленной файловой системы сервера к рабочей станции. К

Сожалению, этот протокол использует довольно слабые формы аутентификации

Пользователей, слишком доверяя им. Как пишут Дж. Спаффорд и С. Гарфинксл И

Действительно, стандартная схема аутентификации, принятая в NFS,-так

Называемая AUTH_UNIX. При ней клиент предоставляет серверу свои UID и GID,

По которым, собственно, сервер разрешает или запрещает доступ к тому или

Иному файлу (то есть использует стандартную схему разграничения доступа в

UNIX). Таким образом, сервер полностью доверяет клиенту, а

Клиент-нарушитель может предстать перед сервером любым пользователем

(кроме суперпользователя).

- -------------------------------------------------------------

I Как видно, создатели все же понимали слабость такой схемы и то, что на

удаленном компьютере суперпользователем (!) может быть, в сущности, кто

Угодно. Поэтому, даже передав серверу UID, равный нулю, злоумышленник не

Получит максимальные права на сервере NFS. Иначе говоря, файлы, владельцем

Которых является суперпользователь, защищены от подобных атак.

- -------------------------------------------------------------

Предположим, что запуск программы showmount с параметром "атакуемый хост"

покажет следующее: