在一個不安全的NIS中，任意一臺機器上使用ypcat passwd命令是可以看到NIS所有賬號的密碼散列值的，這樣就存在安全隱患。設(shè)置C2 Security后，ypcat passwd可以看到，原來顯示密碼散列值的部分被##logname代替了，這樣可防止密碼散列被竊取。只需要簡單幾步，在現(xiàn)有的NIS環(huán)境中設(shè)置C2 Security，步驟如下：

在master server上需要做的操作：
# cd /nis
# mkdir security
# mv shadow security/passwd.adjunct
# cd /var/yp
# /usr/ccs/bin/make passwd passwd.adjunct
Ctrl ^C
執(zhí)行到這里會停住，按Ctrl+C退出，因為在向slave進行push時，slave上沒有passwd.adjunct文件的map，所以push不上去；

到所有的slave server上執(zhí)行如下操作：
# /usr/lib/netsvc/yp/ypxfr -h master-server passwd.adjunct.byname

然后回到master server上，繼續(xù)執(zhí)行上條未完成的命令：
# /usr/ccs/bin/make passwd passwd.adjunct
這個時候就可以push到slave上了；

重啟yp服務(wù)：
# /usr/lib/netsvc/yp/ypstop
# /usr/lib/netsvc/yp/ypstart

注意點：
1、如果NIS目錄下的shadow，不使用mv，而使用cp拷貝到security目錄下的話，會導(dǎo)致用passwd或者yppasswd修改密碼時將新密碼修改至shadow文件，而不是新的passwd.adjunct文件，即使重啟了yp服務(wù)仍是這樣。并且用戶登錄時以shadow的密碼為準(zhǔn)，用戶修改密碼也是改的shadow文件。

2、如果原NIS目錄下存在shadow的話，在make passwd的時候，如果事先沒有對passwd文件進行修改，系統(tǒng)是不會去update和push這個passwd的，這樣的話，在所有的機器上ypcat看passwd仍然顯示的是密碼散列，起不到隱藏的作用；相反，如果不存在shadow文件，即使passwd文件沒有變化，系統(tǒng)也會在每次make passwd的時候?qū)asswd文件update和push。

3、如果不重啟yp服務(wù)，會導(dǎo)致在修改密碼的時候出現(xiàn)Permission denied。

4、測試發(fā)現(xiàn)在添加用戶的時候不需要make passwd.adjunct。

【編輯推薦】

1. 在RHEL 5中配置NIS服務(wù)器端及客戶端
2. RHEL上NIS網(wǎng)絡(luò)信息服務(wù)配置實例講解
3. RHEL5.1主/從NIS服務(wù)器配置及測試