Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2.3. NIS のセキュア化

ネットワーク情報サービス (NIS) は ypserv と呼ばれる RPC サービスの一つで、portmap および他の関連サービスと一緒に使用することで、ドメイン内にあると主張するすべてのコンピューターに、ユーザー名やパスワード、他の機密性のある情報のマップを配布します。
NIS サーバーは、以下のものを含むいくつかのアプリケーションで構成されています。
  • /usr/sbin/rpc.yppasswddyppasswdd サービスとも呼ばれます。このデーモンを使用することで、ユーザーは NIS パスワードを変更できます。
  • /usr/sbin/rpc.ypxfrdypxfrd サービスとも呼ばれます。このデーモンは、ネットワーク上での NIS マップ転送を担当します。
  • /usr/sbin/yppush — このアプリケーションは、変更された NIS データベースを複数の NIS サーバーに伝達します。
  • /usr/sbin/ypserv — これは NIS サーバーデーモンです。
NIS は今日の基準ではあまり安全なものではありません。ホスト認証メカニズムがなく、パスワードハッシュを含むすべての情報をネットワーク上で暗号化せずに送信します。このため、NIS を使用するネットワークの設定時には、非常に注意深い作業が必要になります。さらに、NIS のデフォルト設定がもともと安全でないことで複雑性が増してしまいます。
NIS サーバーの実装を予定している場合は、「ポートマップのセキュア化」 に概説があるようにまず portmap サービスのセキュア化を図ることが推奨されます。その後に、以下のようなネットワークプラニングの問題などに対処してください。

2.2.3.1. ネットワークの注意深いプラニング

NIS は機密性の高い情報を暗号化せずにネットワーク上で送信するので、ファイアウォールの背後で、またセグメント化された安全なネットワーク上で実行することが重要です。NIS 情報が安全でないネットワーク上で送信される際は、常に傍受される危険があります。ネットワークを注意深く設計することで、重大なセキュリティ侵害の防止に役立ちます。