(солнце) RPC auth_unix

Question

Я внедряю свой собственный RPC-фреймворк, и все остальное уже сделано, но мне нужна помощь, как мне проверить auth_unix? структура данных определяется в http://www.faqs.org/rfcs/rfc1050. html 9.2 Аутентификация в UNIX, но как мне проверить пользователя?

Answer 1

UID и GID сравниваются с UID и GID на сервере для проверки их подлинности. Эти идентификаторы могут совместно использоваться в системах Unix с использованием NIS или других средств. Все, что впоследствии выполняется в удаленной системе, запускается под этим эффективным UID и GID.

Приложение на сервере может реализовывать дополнительную аутентификацию, но учтите, что AUTH_UNIX не аутентифицирует пользователя сам по себе; он доверяет предоставленным UID и GID.

Из раздела 9.3.

9.3 DES Authentication

   UNIX authentication suffers from two major problems:

         (1) The naming is too UNIX oriented.
         (2) There is no verifier, so credentials can easily be faked.

   DES authentication attempts to fix these two problems.

Если вы используете аутентификацию Unix, вы можете только предполагать, что сообщение исходит от доверенного хоста, и был установлен какой-то механизм для аутентификации пользователя, прежде чем он получил возможность сделать что-то, что инициировало вызов.

В этом случае приложение будет проверять учетные данные пользователя. Имя исходного компьютера также указывается, чтобы вы могли убедиться, что исходный IP-адрес соответствует ему, и отвечать только на этот адрес - это имеет очевидные уязвимости для атак отравления кэша DNS. Кроме того, сделать эту игру приятной с DHCP или NAT оставлено читателю в качестве упражнения; -}

Это означает, что у вас нет другого выбора, кроме как доверять UID и GID или выполнять дополнительную проверку в приложении, расположенном поверх вашей библиотеки RPC. В RFC обсуждаются более безопасные механизмы аутентификации. Однако Sun RPC не самый безопасный из протоколов и обычно не рекомендуется для служб, предоставляемых ненадежным клиентам.