Start

Das Sicherheitsmodell von NFS

Wie in der Einleitung erläutert, verhalten sich per NFS freigegebene Ordner so, als ob sie über eine externe Festplatte anderen Rechnern zur Verfügung gestellt würden. Demzufolge wird auch ein vergleichbares Sicherheitskonzept verwendet:

• Der Zugriff auf Dateien und Ordner wird nur über die Zugriffsrechte dieser Dateien geregelt. Um sich auf Benutzer und Gruppen zu beziehen, werden UNIX-Benutzerkennzahlen (UIDs) und Gruppenkennzahlen (GIDs) auf der Platte gespeichert.
• Zum Herstellen einer Verbindung zu einem NFS-Server ist keinerlei Anmeldung nötig.
• Der Schutz der Zugriffsrechte funktioniert nur dann, wenn die beiden Computer, zwischen den Daten ausgetauscht werden, die exakt gleichen Benutzerkurznamen, Benutzerkennzahlen (UIDs), Gruppenkurznamen und Gruppenkennzahlen (GIDs) verwenden!

Um einen abgesicherten Betrieb zu gewährleisten, ist es deshalb unabdingbare Voraussetzung, die Benutzer- und Gruppenaccounts zwischen allen Computern, die in einem Netz am NFS-Datenaustausch beteiligt sind, miteinander abzugleichen.

In sehr kleinen Netzen kann diese Synchronisation der Accounts notfalls von Hand vorgenommen werden. Es ist jedoch üblich, hierfür einen netzweiten Verzeichnisdienst einzurichten. Ein Verzeichnisdienst ist eine gemeinsam im Netz genutzte Datenbank, in der alle Account-Daten gespeichert sind. Außer zu Wartungszwecken sollten keine Accounts mehr verwendet werden, die lokal auf jedem Rechner gespeichert sind. Alle Computer nutzen nur noch Accounts des zentralen Verzeichnisses und sind daher automatisch miteinander abgeglichen.

Mac OS X unterstützt von Hause aus die Verzeichnisdienste

• Apple Open Directory
• Microsoft® Active Directory
• NIS (Network Information Service)
• LDAPv3-Server mit einem Unix-Verzeichnisschema nach RFC 2307.

Hinweis: Allgemeine LDAP-Server nach RFC 2307 werden in Systemversionen ab Mac OS X 10.7 oder höher nicht mehr unterstützt.

Das Anbinden eines Mac OS X-Computers an einen vorhandenen Verzeichnisdienst ist über das Programm Verzeichnisdienste im Ordner /System/Library/CoreServices möglich. Die Einrichtung eines Verzeichnisdienstes geht über den Umfang dieses Handbuchs hinaus und wird deshalb nicht weiter beschrieben.

Einschränkung des Zugriffs auf bestimmte Computer

Möglicherweise ist es nicht machbar, dass sich alle Computer in Ihrem Netz einem gemeinsamen Verzeichnisdienst anschließen. Um Sicherheitsrisiken zu vermeiden, sollte deshalb Computern, die nicht ausdrücklich für den Zugriff auf einen bestimmten Server zugelassen sind, der Zugriff generell verweigert werden. NFS unterstützt deshalb die folgenden Beschränkungen, die für jede Freigabe gesondert definiert werden können:

• ohne Beschränkung: jeder Computer, der physisch mit dem Netz verbunden ist, darf auf die NFS-Freigabe zugreifen. Dies ist die unsicherste Einstellung. Sie wird nicht empfohlen.
• Beschränkung auf eine Liste von Computern: nur Computer, die in einer bestimmten Liste aufgezählt sind, dürfen auf die NFS-Freigabe zugreifen.
• Beschränkung auf ein IPv4-Teilnetz: nur Computer, die IPv4-Adressen eines bestimmten Teilnetzes verwenden, dürfen auf die NFS-Freigabe zugreifen.

Gegenseitige Identifikation von Computern und Datenverschlüsselung

Die zuvor beschriebene Technik, unbefugte Computer von der Nutzung einer NFS-Freigabe auszuschließen, ist nicht sehr sicher: Ist das Netzwerk offen, z.B. per ungesichertem WLAN zugänglich oder gibt es Ethernet-Steckdosen, die nicht abgeschlossen oder anderweitig überwacht sind, kann sich ein böswilliger Angreifer mit seinem eigenen Computer in das Netz einklinken. Er könnte die IP-Adresse eines als berechtigt ausgewiesenen Computers übernehmen und so die Zugriffsbeschränkung umgehen.

Um solche Sicherheitslücken zu schließen, kann Mac OS X eine NFS-Freigabe durch Einsatz der Kerberos-Technik schützen. Kerberos ist ein komplexes Verfahren zur gegenseitigen, sicheren Identifikation von Diensten, Geräten und Nutzern, das auf Verschlüsselungsverfahren beruht. Hierbei wird in der Regel eine höhere Sicherheit erreicht, als beim sonst üblichen Schutz durch Kennworte. Als Ersatz für Kennworte werden abhörsichere, fälschungssichere und selbstverfallende Schlüsseldaten verwendet, die Kerberos-Tickets genannt werden.

Da Kerberos-Tickets ohne Risiko vollautomatisch im Netz versandt werden können, ist damit eine allumfassende Einmalanmeldung („Single Sign-On“) möglich: Ein Benutzer meldet sich nur einmal bei einem zentralen Dienst im Netz an. Danach werden auf allen Rechnern alle Dienste, für die dieser Benutzer Zugangsberechtigung hat, vollautomatisch freigeschaltet, ohne dass eine weitere Anmeldung erforderlich wäre. Die Berechtigung endet erst dann, wenn entweder die voreingestellte Gültigkeit des Tickets abgelaufen ist (typischerweise nach 10 Stunden), oder wenn der Benutzer sein Ticket ausdrücklich deaktiviert.

Die Kerberos-Technik ist nicht auf Benutzer beschränkt, sondern erlaubt auch Geräten und Diensten, sich gegenseitig sicher zu identifizieren. Mac OS X kann auf Wunsch eine oder mehrere der folgenden Sicherheitsbedingungen an eine NFS-Freigabe koppeln:

• nur Benutzer mit gültigem Kerberos-Ticket dürfen die Freigabe aktivieren
• die NFS-Dienste der beiden beteiligten Computer müssen sich per Kerberos gegenseitig identifizieren
• alle im Netz per NFS übertragenen Daten müssen per Kerberos verschlüsselt werden.

Damit Sie Kerberos einsetzen können, muss es allerdings vorher im Netz eingerichtet worden sein. Die folgenden Voraussetzungen sind nötig:

• die beteiligten Computer müssen Mitglied einer Kerberos-Zone (Realm) sein.
• die beteiligten Computer müssen dafür eingerichtet sein, auf einen gemeinsamen Kerberos-Schlüsselverteilungsserver (Kerberos Key Distribution Center) dieser Zone zuzugreifen.
• Benutzer, die auf geschützte NFS-Freigaben zugreifen möchten, müssen ein gültiges Kerberos-Ticket besitzen.
• Klient und Server einer NFS-Verbindung müssen in der Zone als Kerberos-Prinzipale mit dem Dienstnamen nfs bekannt gemacht worden sein.

Die Einrichtung von Kerberos geht über den Umfang dieses Handbuchs hinaus und wird daher nicht weiter beschrieben.

Weitere mögliche Sicherheitsmaßnahmen

Ist Ihr Netz mit anderen Netzen, wie z.B. dem Internet verbunden, so kann der NFS-Zugriff aus dem Fremdnetz durch Einsatz einer Paketfilter-Firewall unterbunden werden. Ist der Paketfilter so konfiguriert, dass er NFS-Datenverkehr nicht durchlässt, ist ein Zugriff aus dem fremden Netz nicht mehr möglich.

Für jede Freigabe können Sie auf Wunsch auch den Nur-Lese-Modus und die Benutzerabbildung einstellen:

• Sie können eine Freigabe auf die Betriebsart „nur zum Lesen“ einschränken. In diesem Fall wird die Freigabe von zugreifenden Computern wie ein Nur-Lese-Medium, z.B. eine CD, behandelt. Ein Schreibvorgang wird auch dann gesperrt, wenn die Benutzerberechtigung theoretisch Schreibrecht erlauben würde.
• Da es auf jedem UNIX-System den allmächtigen Benutzer-Account root gibt, der jede Zugriffsbeschränkung umgehen darf, können Sie zur Vermeidung von Sicherheitsproblemen bewirken, dass root beim Zugriff auf eine NFS-Freigabe nicht mehr als root behandelt, sondern auf einen anderen Benutzer mit weniger Rechten abgebildet wird. Auch weitere Benutzer-Accounts können falls nötig auf andere Accounts abgebildet werden.

Verwenden von Zugriffssteuerungslisten (ACLs)

Mac OS X unterstützt neben klassischen POSIX-Zugriffsrechten auch die Einstellung von Berechtigungen über Zugriffssteuerungslisten (Access Control Lists, ACLs), die mit Microsoft® Windows und dem POSIX.1e-Vorschlag kompatibel sind. ACLs können zurzeit jedoch nur über NFS Version 4 verwendet werden. Bei Verwendung von NFSv2 oder NFSv3 gilt:

• ACLs werden auf Server-Seite beachtet. Das System verhält sich so, als würde der abgebildete Benutzer, der per NFS zugreift, lokal auf dem Server arbeiten.
• ACLs sind vom zugreifenden Rechner aus nicht sichtbar. Die ACLs können dort weder angezeigt noch verändert werden. Der Klient verhält sich so, als würde er auf ein Dateisystem zugreifen, das ACLs nicht unterstützt.