Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3.6. NIS のセキュア化

ネットワーク情報サービス (NIS) は、ypserv と呼ばれる RPC サービスで、rpcbind や他の関連サービスと組み合わせて使用され、ユーザー名、パスワード、他の機密情報のマップをそのドメイン内にあると主張するコンピューターに配布します。
NIS サーバーは、いくつかのアプリケーションで設定されています。内容は以下の通りです。
  • /usr/sbin/rpc.yppasswddyppasswdd サービスとも呼ばれるこのデーモンを使用すると、ユーザーは NIS パスワードを変更できます。
  • /usr/sbin/rpc.ypxfrdypxfrd サービスとも呼ばれるこのデーモンは、ネットワークを介した NIS マップ転送を担当します。
  • /usr/sbin/ypserv — これは、NIS サーバーデーモンです。
NIS は現在の基準からすると、やや安全性に欠けています。ホスト認証メカニズムがなく、パスワードハッシュを含むすべての情報を暗号化せずにネットワーク経由で送信します。そのため、NIS を使用するネットワークを構築する際には、細心の注意が必要です。さらに、NIS のデフォルト設定が本質的に安全でないという事実が、この問題をさらに複雑にしています。
NIS サーバーの実装を計画している人は、「rpcbind のセキュア化」 で説明されているように、最初に rpcbind サービスのセキュリティーを保護してから、ネットワーク計画などの次の問題に取り組むことを推奨します。

4.3.6.1. ネットワークの注意深いプランニング

NIS はネットワーク上で機密情報を暗号化せずに送信するため、サービスをファイアウォールの内側で、そしてセグメント化された安全なネットワーク上で実行することが重要となります。NIS 情報が安全でないネットワークを介して送信される場合は常に、傍受されるリスクがあります。慎重なネットワーク設計は、深刻なセキュリティー侵害を防ぐ上で役立ちます。