linux-l: mounten von NFS

Karl-Heinz Haag kh at lux.in-berlin.de
Mi Mär 14 00:36:51 CET 2001 

Quoting Uwe Fricke (Uw.Fricke at t-online.de):
> 
> Holger Paulsen wrote:
> > Und? Was steht in /etc/exports?
> > 
> Inzwischen das Richtige. Habe, dank unseres Sysadmins, der sowas
> ins Intranet stellt, in "The Network Administrators` Guide" ein
> Beispiel gefunden. Exports sieht jetz folgendermaßen aus:
> 
> /     *.sabuwe

...

> Eintrag in der fstab geändert auf:
> server:/   /   nfs   exec,dev,suid,rw  2 2

....

> $less /var/log/messages  antwortet mit "Zugriff verweigert"
Und damit hat der server die korrekte Antwort gegeben.

> Das Verzeichniss ist aber leer.
Auch das ist klar.

> Was Nun?

Lesen.  
man exports 

Ich 'lese' jetzt mal Deine Absichten aus Deiner fstab im Verbund mit
Deiner (dafür nicht geeigneten) exports. 

Du willst den server alles '/' exportieren lassen und Rechner der domain
sabuwe sollen lesend+schreibend, ausführend und als root auf dem
nfs-server rumfingern dürfen. 
Mal abgesehen davon was daran sinnvoll sein soll, wenn Du auch nur
annähernd solch weitgehende Rechte auf den importierenden Systemen haben
willst, wirst Du die doch so "Richtige" exports Datei noch ein wenig
überarbeiten müssen. 

Kurz vorweg, das Zauberwort heißt 'root_sqash'

Zwei Fundstellen dazu aus 'man exports': (-->User ID Mapping) 
	Very often, it is not desirable that  the  root  user on a 
	client  machine  is  also  treated  as root when accessing
        files on the NFS server. To this end, uid  0  is  normally
        mapped  to  a  different  id:  the   so-called anonymous or
        nobody uid. This mode of operation  (called  `root  squash­
        ing')   is  the  default,
			 ^^^^^^^
Also: *Sicherheit* ist hier die Grundeinstellung, wenn auf dem server 
nicht ausdrücklich etwas anderes eingestellt wird. 

Will heißen, ein root auf einem nfs-client ist *nicht* in einem 
Streich der root des Servers.
Das erklärt Deine Beobachtungen (permission denied + Verzeichnis leer).

Weiter heißt es dann in man exports:
                          (...s.o)  and  can  be  turned  off  with
				    no_root_squash.
			 	    ^^^^^^^^^^^^^^
Wer es also in einem LAN mit nfs noch unsicherer will, kann den client-roots
durch die Angabe 'no_root_squash' in der exports des servers jeglichen
Zugriff auf den server freigeben.

Ist es das was Du willst?

Karl-Heinz

Mehr Informationen über die Mailingliste linux-l