在一個(gè)不安全的NIS中，任意一臺(tái)機(jī)器上使用ypcat passwd命令是可以看到NIS所有賬號(hào)的密碼散列值的，這樣就存在安全隱患。設(shè)置C2 Security后，ypcat passwd可以看到，原來顯示密碼散列值的部分被##logname代替了，這樣可防止密碼散列被竊取。只需要簡(jiǎn)單幾步，在現(xiàn)有的NIS環(huán)境中設(shè)置C2 Security，步驟如下：

在master server上需要做的操作：
# cd /nis
# mkdir security
# mv shadow security/passwd.adjunct
# cd /var/yp
# /usr/ccs/bin/make passwd passwd.adjunct
Ctrl ^C
執(zhí)行到這里會(huì)停住，按Ctrl+C退出，因?yàn)樵谙騭lave進(jìn)行push時(shí)，slave上沒有passwd.adjunct文件的map，所以push不上去；

到所有的slave server上執(zhí)行如下操作：
# /usr/lib/netsvc/yp/ypxfr -h master-server passwd.adjunct.byname

然后回到master server上，繼續(xù)執(zhí)行上條未完成的命令：
# /usr/ccs/bin/make passwd passwd.adjunct
這個(gè)時(shí)候就可以push到slave上了；

重啟yp服務(wù)：
# /usr/lib/netsvc/yp/ypstop
# /usr/lib/netsvc/yp/ypstart

注意點(diǎn)：
1、如果NIS目錄下的shadow，不使用mv，而使用cp拷貝到security目錄下的話，會(huì)導(dǎo)致用passwd或者yppasswd修改密碼時(shí)將新密碼修改至shadow文件，而不是新的passwd.adjunct文件，即使重啟了yp服務(wù)仍是這樣。并且用戶登錄時(shí)以shadow的密碼為準(zhǔn)，用戶修改密碼也是改的shadow文件。

2、如果原NIS目錄下存在shadow的話，在make passwd的時(shí)候，如果事先沒有對(duì)passwd文件進(jìn)行修改，系統(tǒng)是不會(huì)去update和push這個(gè)passwd的，這樣的話，在所有的機(jī)器上ypcat看passwd仍然顯示的是密碼散列，起不到隱藏的作用；相反，如果不存在shadow文件，即使passwd文件沒有變化，系統(tǒng)也會(huì)在每次make passwd的時(shí)候?qū)asswd文件update和push。

3、如果不重啟yp服務(wù)，會(huì)導(dǎo)致在修改密碼的時(shí)候出現(xiàn)Permission denied。

4、測(cè)試發(fā)現(xiàn)在添加用戶的時(shí)候不需要make passwd.adjunct。

【編輯推薦】

1. 在RHEL 5中配置NIS服務(wù)器端及客戶端
2. RHEL上NIS網(wǎng)絡(luò)信息服務(wù)配置實(shí)例講解
3. RHEL5.1主/從NIS服務(wù)器配置及測(cè)試