NFS (Network File System) là hệ thống cung cấp dịch vụ chia sẻ file phổ biến hiện nay trong hệ thống mạng Linux và Unix. NFS được phát triển để cho phép các máy tính gắn kết tới 1 phân vùng đĩa trên 1 máy từ xa giống như nó là đĩa cục bộ (local disk) vậy nó cho phép việc truyền tải file qua mạng được nhanh và trơn tru hơn. Nó cũng tạo ra khả năng tìm tàng cho những người mà bạn không mong muốn truy cập ổ cứng của bạn qua mạng (theo cách đó họ có thể đọc email, xóa file và làm sập hệ thống của bạn) nếu bạn cài đặt nó không chính xác.NFS sử dụng hệ thống mô hình clientserver. Trên server có các ổ đĩa vật lý chứa các file hệ thống được chia sẻ và một số dịch vụ chạy ngầm trên hệ thống (daemon) phục vụ cho việc chia sẻ với client (gọi là quá trình export). Ngoài ra các dịch vụ chạy trên server cũng cung cấp chức năng bảo mật file và quản lý lưu lượng sử dụng (file system quota). Các client muốn sử dụng các file system được chia sẻ trên Server chỉ đơn giản dùng giao thức NFS để mount (gắn kết) các file system đó lên hệ thống của mình
MỤC LỤC CHƯƠNG 1: NFS – Network File System 1.1 Giới thiệu sơ lược NFS 1.2 Cài đặt cấu hình NFS Server 1.2.1 File cấu hình, câu lệnh .2 1.2.2 Khởi động dịch vụ có liên quan 1.2.3 Cập nhật thay đổi cho /etc/exports 1.3 Minh họa việc cấu hình NFS 1.3.1 Thiết lập server: 1.3.2 Thiết lập client 1.4 Bảo mật 1.4.1 Tổng quan 1.4.2 The Portmapper-quản lý kết nối 1.4.3 Server security: nfsd and mountd 1.4.4 NFS tường lửa 10 CHƯƠNG 2: NIS – Network Information Service 11 2.1 Giới thiệu sơ lược NIS 11 2.2 Cài đặt cấu hình NIS 13 2.2.1 Cài đặt cấu hình NIS Server 13 2.2.2 Cài đặt cấu hình NIS Client 17 2.3 Bảo mật .19 BẢNG PHÂN CÔNG NHIỆM VỤ Thành viên Trần Nghĩa Hưng Trịnh Thị Gái Nguyễn Thế Hùng Lê Hồng Long (nhóm trưởng) Nhiệm vụ Tìm hiểu chung NIS, NFS Làm báo cáo Cấu hình cài đặt NFS server Làm demo Cấu hình cài đặt NIS server Làm demo Cấu hình cài đặt NFS server, Cấu hình cài đặt NIS server Làm slide LỜI NÓI ĐẦU Hiện hệ điều hành Linux ngày ứng dụng nhiều ngành khoa học phục vụ sống thường ngày, từ ứng dụng hệ thống chuyên biệt phục vụ y tế, quân đội tới phục vụ hệ thống giáo dục ứng dụng văn phòng cho người dùng cuối… Trong năm gần hệ điều hành Linux bước đưa vào sử dụng Việt Nam Nhiều tổ chức, công ty dự án tin học chọn Linux môi trường để phát triển ứng dụng Chính nhu cầu tìm hiểu hệ điều hành trở nên quan trọng cần thiết Đề tài đề cập tới ứng dụng nhỏ việc khai thác dịch vụ quản trị mạng hệ điều hành linux Network File System (NFS) Network Information Service (NIS) Tài liệu Linux nhiều nhiên tài liệu chuyên sâu mảng đa số vẩn tiếng Anh nữa: Linux có nhiều phân phối ( 30 phân phối tính đến tháng 4/2011 ), q trình thực đồ án, chúng em gặp khơng khó khăn tham khảo tài liệu với nhiều từ chuyên ngành, có sai khác bước thiết lập phân phối Từ thực tế chắn đề tài khơng tránh khỏi nhiều thiếu sót chưa xác Rất mong nhận đóng góp ý kiến thầy Cấu trúc báo cáo bao gồm chương: - NFS – Network File System - NIS – Network Information Service CHƯƠNG 1: NFS – NETWORK FILE SYSTEM 1.1 Giới thiệu sơ lược NFS NFS (Network File System) hệ thống cung cấp dịch vụ chia sẻ file phổ biến hệ thống mạng Linux Unix NFS phát triển phép máy tính gắn kết tới phân vùng đĩa máy từ xa giống đĩa cục (local disk) cho phép việc truyền tải file qua mạng nhanh trơn tru Nó tạo khả tìm tàng cho người mà bạn khơng mong muốn truy cập ổ cứng bạn qua mạng (theo cách họ đọc email, xóa file làm sập hệ thống bạn) bạn cài đặt khơng xác NFS sử dụng hệ thống mơ hình client/server Trên server có ổ đĩa vật lý chứa file hệ thống chia sẻ số dịch vụ chạy ngầm hệ thống (daemon) phục vụ cho việc chia sẻ với client (gọi q trình export) Ngồi dịch vụ chạy server cung cấp chức bảo mật file quản lý lưu lượng sử dụng (file system quota) Các client muốn sử dụng file system chia sẻ Server đơn giản dùng giao thức NFS để mount (gắn kết) file system lên hệ thống Hệ thống chia sẻ file NFS sử dụng với nhiều chức khác Ví dụ thay mổi hệ thống client/server bạn phải có phân vùng /home/username người dùng cần lưu trữ thư mục máy chủ trung tâm (NFS server), sau dùng giao thức NFS để mount thư mục /home/username tương ứng người dùng họ đăng nhập hệ thống Có vài khác biệt phiên NFS, 3NFS, 4NFS Bạn cần NFS cài đặt mộthệ thống lớn hay hệ thống chuyên biệt đấy, NFS NFS thích hợp cho người dùng ngẫu nhiên, nhỏ lẻ NFS (Network File System) hệ thống phát triển để gán phân vùng đĩa máy từ xa thể máy local Cho phép chia sẻ file nhanh tập trung mạng 1.2 Cài đặt cấu hình NFS Server 1.2.1 File cấu hình, câu lệnh Thiết lập máy chủ thực theo hai bước: Thiết lập tập tin cấu hình cho NFS, sau khởi động dịch vụ NFS Nội dung file cấu hình: /etc/exports Các dòng text file cấu hình /etc/exports có cú pháp sau: dir host1(options) host2(options) hostN(options) … Trong đó: dir : thư mục file system muốn chia sẻ host: nhiều host cho phép mount dir định nghĩa tên, nhóm sử dụng ký tự, * nhóm sử dụng dải địa mạng/subnetmask options : định nghĩa nhiều options mount Cụ thể: - ro: thư mục chia sẻ đọc được; client khơng thể ghi lên - rw: client đọc ghi thư mục - no_root_squash: mặc định, file truy vấn tạo người chủ (root) máy trạm xử lý tương tự tạo user nobody (các file tạo hệ thống mà ko người dùng can thiệp-tài khoản vô danh) máy chủ (truy vấn ánh xạ phụ thuộc vào UID user nobody server client) Nếu no_root_squash chọn, người quản trị cao cấp client có mức truy cập đến file hệ thống giống quản trị cao cấp server Điều kéo theo nhiều vấn đề an ninh nghiêm trọng, cần thiết bạn muốn thực công việc quản trị client-cơng việc đòi hỏi thư mục phải chia sẻ Bạn không nên định lựa chọn khơng có lý rõ ràng - no_subtree_check: phần ổ đĩa chia sẻ, đoạn chương trình gọi “thẩm tra lại việc kiểm tra con” u cầu từ phía client (nó file n m phân vùng chia sẻ) Nếu tồn ổ đĩa chia sẻ, việc vơ hiệu hóa kiểm tra tăng tốc độ truyền tải - sync: thông báo cho client biết file ghi xong- tức ghi để lưu trữ an toàn-khi mà NFS hoàn thành việc kiểm soát ghi lên file hệ thống cách xử lí ngun nhân làm sai lệch liệu server khởi động lại Ví dụ file cấu hình mẫu /etc/exports: /usr/local *.ipmac.vn(ro) /home 192.168.1.0/255.255.255.0(rw) /var/tmp 192.168.1.1(rw) Dòng thứ : cho phép tất host với tên miền định dạng “somehost”.ipmac.vn mount thư mục /usr/local với quyền đọc Dòng thứ hai : cho phép host có địa IP thuộc subnet 192.168.1.0/24 mount thư mục /home với quyền đọc ghi Dòng thứ ba : cho phép host có địa IP 192.168.1.1 mount thư mục /var/tmp với quyền đọc ghi 1.2.2 Khởi động dịch vụ có liên quan Để sử dụng dịch vụ NFS, cần có daemon (dịch vụ chạy ngầm hệ thống) sau: - Portmap: Quản lý kết nối, sử dụng chế RPC (Remote Procedure Call), dịch vụ chạy server client - NFS: Khởi động tiến trình RPC yêu cầu để phục vụ cho chia sẻ file, dịch vụ chạy server - NFS lock: Sử dụng cho client khóa file NFS server thơng qua PRC 1.2.2.1 Khởi động portmapper NFS phụ thuộc vào tiến trình ngầm quản lý kết nối (portmap rpc.portmap), chúng cần phải khởi động trước Nó nên đặt /sbin /usr/sbin Hầu hết phân phối linux gần khởi động dịch vụ trong, kịch khởi động‟ (boot scripts –tự khởi động server khởi động) vẩn phải đảm bảo khởi động trước bạn làm việc với NFS (chỉ cần gõ lệnh netstat -anp |grep portmap để kiểm tra) 1.2.2.2 Các tiến trình ngầm Dịch vụ NFS hỗ trợ tiến trình ngầm: - rpc.nfsd- thực hầu hết cơng việc - rpc.lockd and rpc.statd-quản lý việc khóa file - rpc.mountd-quản lý yêu cầu gắn kết lúc ban đầu - rpc.rquotad-quản lý hạn mức truy cập file người sử dụng server truy xuất - lockd gọi theo yêu cầu nfsd Vì bạn không cần quan tâm tới việc khởi động - statd cần phải khởi động riêng 1.2.2.3 Xác minh dịch vụ NFS chạy Để làm điều này, ta truy vấn portmapper với lệnh rpcinfo quota để tìm dịch vụ cung cấp 1.2.3 Cập nhật thay đổi cho /etc/exports Nếu bạn thay đổi /etc/exports, thay đổi chưa có hiệu lực lập tức, bạn phải thực thi lệnh exportfs để bắt nfst cập nhật lại nội dung file /etx/exports Nếu bạn khơng tìm thấy lệnh exportfs bạn kết thúc nfsd với lệnh HUD Nếu việc khơng hoạt động, đừng quên kiểm tra lại hosts.allow để đảm bảo r ng bạn không quên việc khai báo danh sách máy Ngoài nên kiểm tra danh sách máy chủ hệ thống tường lửa mà bạn thiết lập 1.3 Minh họa việc cấu hình NFS Mơ hình máy để thực việc cấu hình 1.3.1 Thiết lập server: - Thiết lập địa IP tĩnh cho máy chủ 192.168.0.3 câu lệnh: [root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0 Thiết lập thơng số sau: - Sau cập nhật lại IP: [root@localhost ~]# ifdown eth0 [root@localhost ~]# ifup eth0 - Tắt tường lửa: - Tắt Selinux [root@localhost ~]# vi /etc/selinux/config - Tạo thư mục chia sẻ máy chủ tên “long”: mkdir long (/root/long) - Cấp quyền truy cập tới thư mục: chmod 777 –R /root/long - Chỉnh sửa file /etc/exports phép gắn kết NFS thư mục với quyền truy cập dùng lệnh vi /etc/exports - Cập nhật ghi file /etc/exports ta dùng lệnh exportfs - Kiểm tra xem dịch vụ NFS ,NFSlock, daemon portmap hoạt động tự khởi động mổi server khởi động lại hay không 1.3.2 Thiết lập client - Thực đặt IP cho client dải mạng với server, tắt tường lửa Selinux hướng dẫn phần Kết máy thông nhau: - Tạo thư mục client (sim) để mount tới thư mục server - Mount thư mục với nhau: - Kiểm tra: tạo thêm file hung.txt thư mục chia sẻ /root/long server thư mục /root/sim client xuất file hung.txt - Cấu hình truy cập file /etc/fstab: - Sửa file /etc/fstab sau: - Reboot lại hệ thống 1.4 Bảo mật 1.4.1 Tổng quan Với NFS, có bước cần thiết để client truy cập đến tài nguyên server Bước gắn kết truy cập việc gắn kết truy cập đạt client cố gắng kết nối vào server Nếu địa IP client khớp với địa “danh sách cho phép” client gắn kết Điều khơng thật an tồn Nếu có khả bắt chước hay chiếm lấy địa đáng tin cậy họ truy cập điểm gắn kết bạn Một ví dụ thực tế: Bạn gọi tới cơng ty sửa chữa đường ống nước, sau người đến tự giới thiệu thân với bạn, bạn tin người người cơng ty gởi đến, họ có đeo thẻ nhân viên công ty Tuy nhiên người cử đến kẻ giả mạo Mỗi máy tính gắn kết với đĩa (volume), hệ điều hành máy có quyền truy cập đến file đĩa ghi lên file đó, đĩa thể với tùy chọn rw Bước thứ hai việc truy cập file Đây chức điều khiển truy cập file thông thường client chức đặc biệt NFS Mỗi ổ đĩa gắn với người sử dụng nhóm quyền hạn file giới hạn quyền điều khiển truy cập Một ví dụ: server người dùng có tên NEO ánh xạ với ID 9999 NEO tạo tập tin server mà người khác có quyền truy cập (tương đương với việc chmod 600) Một máy client gắn kết tới ổ đĩa chứa tệp tin Trên máy client người dùng tên XONE có ID 9999 Điều có nghĩa XONE truy cập tới tệp tin NEO – mà quyền truy xuất NEO Tệ hại hơn, người trở thành superuser (siêu người dùng- Là tài khoản người dùng đặc biệt UNIX có quyền truy cập tới Root) máy client họ dùng lệnh su – username (để thay đổi tên tài khoản) trở thành Lúc NFS khơng lựa chọn sáng suốt 1.4.2 The Portmapper-quản lý kết nối The Portmapper (quản lý tiến trình) giữ danh sách dịch vụ chạy cổng Danh sách sử dụng máy tính có kết nối để thấy cổng mà (máy tính) muốn truy cập tới dịch vụ Portmapper không tệ vài năm trước vẩn điểm đáng lo nhiều người quản trị hệ thống portmapper giống NIS NFS, thật khơng nên có kết nối bên ngồi mạng LAN Nếu bạn bắt buộc phải chia sẻ chúng bên – cẩn thận trùy thường xuyên việc kiểm tra hệ thống Không phải phân phối linux tạo giống Một vài phân phối không kèm theo portmapper đáng tin cậy Cách đơn giản để kiểm tra portmapper bạn có đảm bảo hay khơng thực thi lệnh : strings /sbin/portmap | grep hosts Nó đọc file hosts.allow hosts.deny Giả sử portmapper đặt /sbin/portmap bạn kiểm tra với lệnh sau kết trả tương tự này: # strings /sbin/portmap | grep hosts /etc/hosts.allow /etc/hosts.deny Trước tiên, chỉnh sửa /etc/hosts.deny Thêm dòng sau vào tập tin: portmap: ALL Điều chặn truy cập đến người Sau đó, lúc truy cập bị chặn chạy lệnh rpcinfo –p nh m kiểm tra xem portmap bạn có thật đọc tuân theo file hay khơng Kết trả khơng có gì, thơng báo lổi Hai file hosts.allow hosts.deny có hiệu lực sau bạn lưu lại chúng Không dịch vụ (daemon) cần khởi động lại Việc chặn quản lý truy cập với tất người có mạnh tay, mở lại truy cập b ng cách edit file /etc/hosts.allow Nhưng trước tiên ta phải tìm hiểu chứa bên Về bản, liệt kê tất máy tính quyền truy cập portmap Những máy cần truy cập dịch vụ máy bạn cần chấp thuận để làm điều Giả dụ máy bạn có địa 192.168.0.254, thuộc mạng 192.168.0.0 máy mạng truy cập đến (192.168.0.254) Để thực điều thay portmap: ALL ta viết lại portmap: 192.168.0.0/255.255.255.0 (Nếu bạn không chắn địa mạng/mặt nạ mạng, bạn sử dụng lênh ifconfig hay netstat để xác minh lại) 1.4.3 Server security: nfsd and mountd Trên máy chủ, không muốn tin cậy vào yêu cầu truy vấn tạo trường hợp người quản lý cao cấp máy trạm (với quyền root tồn quyền truy cập client, điều khơng phép xảy máy chủ) Chúng ta ngăn chặn điều b ng tùy chọn root_squash /etc/exports /home slave1(rw,root_squash) (tùy chọn dùng để hạn chế quyền root) Thiết lập nên ln bật sẵn, có lý cấp bách hủy thiết lập trên, b ng tùy chọn no_root_squash Bây user có UID (tức ID người quản trị cao cấp) thử truy cập (đọc, ghi, xóa) tập tin hệ thống, máy chủ thay b ng UID tài khoản vô danh (nobody user) Điều nghĩa người quản trị cao cấp (root user) máy trạm truy cập hay thay đổi file đó, có người quản trị cao cấp server có quyền mà thơi Điều tốt có lẽ bạn nên dùng root_squash tất file hệ thống mà bạn cho truy cập đến Vẩn tồn câu hỏi r ng “ liệu người quản trị cao cấp máy trạm dùng lệnh su để mạo danh thành người dùng cố gắng truy cập, thay đổi file hệ thống máy chủ hay khơng ” Câu trả lời có, thật sẻ diển (trên hệ thống chạy linux với NFS) Ở có ý: tất file quan trọng nên sở hữu người quản trị cao cấp tài khoản mà người quản trị cao cấp máy trạm khơng thể giả mạo tài khoản quản trị cao cấp máy chủ Các cổng TCP từ 1-1024 dành riêng cho công việc người quản trị cao cấp (đó lí mà đơi gọi “cổng an tồn”) Những người dùng khác ghép nối tới cổng Bổ sung thêm tùy chọn secure /etc/exports nghĩa liệt kê truy vấn đến từ cổng 1-1024 máy khách, mối nguy hiểm từ người dùng quản trị cao cấp máy trạm xuất mở tương tác giả mạo cổng không bảo mật Tùy chọn thiết lập mặc định 1.4.4 NFS tường lửa Khi dịch vụ chạy ngầm khởi động, yêu cầu cổng trống từ đồ ánh xạ Portmapper đưa cổng cho tiến trình ghi lại dấu vết cổng Khi máy chủ tiến trình khác cần giao tiếp với tiến trình ngầm, chúng yêu cầu số cổng từ portmapper để truy tìm tiến trình Vì cổng khơng ngừng bị thả nổi, cổng khác rảnh vào thời điểm khác portmapper phân bổ chúng (port) lần khác Đây vấn đề đau đầu cho việc thiết lập tường lửa bạn chưa biết khu vực mà tiến trình diễn ra, sau khơng biết xác cổng phép truy cập Đây không vấn đề lớn nhiều người chạy mạng LAN bảo vệ bị cô lập Với người dùng mạng cơng cộng điều thật khủng khiếp Trong phiên nhân 2.4.13 sau bạn lo lắng việc thả cổng Bây tất tiến trình ngầm liên quan đến NFS “đính” với cổng Hầu hết chúng dể dàng thực k m tùy chọn –p khởi động Các tiến trình ngầm khởi động với vài đối số tùy chọn, chúng mô tả sau đây: Portmap sử dụng cổng 111 giao thức tcp udp Nfsd cổng 2049(tcp/udp) Một số tiến trình khác: statd, mountd, lockd, rquotad thường chuyển tới cổng khả dụng portmapper định Để tác động statd kết hợp với cổng cụ thể, sử dụng tùy chọn –p số cổng Để tác động statd đáp ứng cổng cụ thể, thêm vào tùy chọn –o số cổng khởi động Để tác động mountd kết hợp với cổng cụ thể, sử dụng thuộc tính –p số cổng 10 CHƯƠNG 2: NIS – NETWORK INFORMATION SERVICE 2.1 Giới thiệu sơ lược NIS Dịch vụ thông tin mạng NIS cho phép bạn tạo tài khoản có khả chia sẻ hệ thống mạng bạn NIS dịch vụ cho phép chứng thực user tập trung: Các tài khoản người dùng tạo NIS server Các NIS client tải thông tin mật cần thiết từ NIS server để chứng thực user đăng nhập Một lợi NIS người sử dụng cần phải thay đổi mật máy chủ NIS, thay hệ thống mạng Điều làm cho NIS phổ biến phòng thí nghiệm đào tạo máy tính, dự án phát triển phần mềm giải pháp cho nhóm người chia sẻ nhiều máy tính khác Nhưng nhược điểm NIS khơng mã hóa thơng tin tên người dùng mật máy client đăng nhập tất người dùng truy cập mật mã hóa lưu trữ máy chủ NIS Một vấn đề lớn việc điều hành mơi trường máy tính việc bảo trì riêng biệt copies file cấu hình thông thường password, group, hosts files Tốt nhất, mạng phải qn cấu hình nó, người dùng khơng phải bận tâm nơi cất dấu tài khoản họ họ tìm thấy máy tính khác mạng Mỗi tập tin phải nhân để máy chủ lưu trữ mạng Trong môi trường mạng nhỏ (Lan chứa vài máy), việc đơn giản, môi trường mạng lớn với hàng trăm, nghìn máy để làm việc thủ cơng việc vơ khó khăn NIS xây dựng mơ hình client-server: Một server NIS host mà chứa file liệu NIS, gọi maps Client host truy vấn thông tin từ maps Server phải phân chia nhiều nửa để quản lý phục vụ tích cực Các máy chủ (master server) 11 chủ thực maps liệu Slave NIS xử lý yêu cầu client, chúng không thay đổi NIS maps Các máy chủ chịu trách nhiệm tổng thể cho tất map bảo dưỡng phân phối đến máy chủ slaver Khi NIS map xây dựng máy chủ có thay đổi, tập tin map phân phối cho máy slave server Các máy NIS client "nhìn thấy" thay đổi thực truy vấn tập tin map, khơng phân biệt giao tiếp với master server slave server, map phân phối tất máy server nhận thông tin Mối quan hệ máy slave, master client: Quá trình chứng thực user khơng mã hóa NIS khơng mã hóa thơng tin tài khoản mật gởi tới máy trạm vào mổi lúc đăng nhập Mọi người sử dụng có quyền truy cập đến nơi NIS server chứa file mã hóa mật Q trình chứng thực user thể hình sau: 12 2.2 Cài đặt cấu hình NIS Một số lệnh với NIS: ypcat - Cho phép in số giá trị NIS map ypwhich - Tìm kiếm server cho host sử dụng ypclnt - Cung cấp giao diện đồ họa cho YP (Yellow Pages) cho hệ thống yppasswd - Đổi lại password cho NIS Domain ypmake - Tạo hash map ypinit - Cấu hình host yppush - update version cho map trở thành Server or client 2.2.1 Cài đặt cấu hình NIS Server Kiểm tra gói ypserv*.rpm cài đặt chưa Nếu chưa, tiến hành cài đặt sau: 13 Thay đổi file /etc/sysconfig/network để khởi tạo NIS server Bạn phải thêm NIS domain mà bạn muốn dùng vào cuối file trên, ví dụ domain srv.world Điền HOSTNAME NISDOMAIN vào cuối Chỉnh sửa file /var/yp/Makefile để bắt đầu khởi tạo thông tin mà NIS phục vụ cho Domain Tìm sửa NOPUSH=true Tìm lại NOPUSH = true Đưa thông tin pass shadow vào file /etc/passwd NIS 14 MERGE_PASWD=true Đưa thông tin Group vào file /etc/passwd NIS MERGE_GROUP=true Những thông tin chia sẻ qua NIS 15 Khởi động dịch vụ goi ypserv rpcbind Nếu bật rối bạn khơi động lại dịch vụ hình sau: Tạo sở liệu cho NIS server lệnh sau: Khởi tạo cớ sở liệu cho NIS Server lệnh sau: Ấn ctrl+D chọn Y để tạo sở liệu cho NIS Server 16 Sau update lại cấu hình cho NIS Server hình sau: 2.2.2 Cài đặt cấu hình NIS Client Tương tự bên Server, client ta cài đặt gói ypbind rpcbind lệnh yum install Thay đổi file /etc/sysconfig/network để khởi tạo NIS server Bạn phải thêm NIS domain mà bạn muốn dùng vào cuối file trên, ví dụ domain srv.world Điền HOSTNAME NISDOMAIN vào cuối Chạy lệnh authconfig để tự động thiết lập file NIS hình sau: Chỉnh sửa file /etc/pam.d/system-auth hình sau: 17 Sau khởi động lại dịch vụ rpcbind ypbind Sử dụng lệnh ipwhich để kiểm tra NIS Server phục vụ Request NIS: Sử dụng lệnh ypcat paswd để liệt kê thông tin map(user pass) Server 18 2.3 Bảo mật Cách thông thường để thay đổi mật NIS chạy lệnh yppasswd NIS lient Lệnh sử dụng giao thức yppasswd cần tiến trình rpc.yppasswdd chạy máy NIS server Giao thức có điểm bất lợi, mật cũ gởi dạng văn thuần-clear text (khơng mã hóa) mạng Điều khơng có đáng bàn việc thay đổi mật thành công, trường hợp mật cũ ghi đ mật trường hợp việc thay đổi mật thất bại chừng, kẻ cơng bắt – sử dụng mật khơng mã hóa để đăng nhập mạng Tồi tệ hơn: người quản lý hệ thống thay đổi mật NIS cho đấy, mật root (root password) máy chủ NIS truyền dạng văn mạng Để tránh tình trạng này, ta sử dụng lệnh rpasswd gói pwdutils với tính an tồn cao rpasswd thay đổi mật tài khoản người dùng máy chủ thơng qua kết nối SSL an tồn Một người dùng bình thường thay đổi mật họ Nếu người biết mật người quản trị hệ thống (trong trường hợp root password máy chủ NIS), người thay đổi mật tài khoản gọi lệnh rpasswd với tùy chọn 19