linux-l: mounten von NFS
Karl-Heinz Haag
kh at lux.in-berlin.de
Mi Mär 14 00:36:51 CET 2001
Quoting Uwe Fricke (Uw.Fricke at t-online.de):
>
> Holger Paulsen wrote:
> > Und? Was steht in /etc/exports?
> >
> Inzwischen das Richtige. Habe, dank unseres Sysadmins, der sowas
> ins Intranet stellt, in "The Network Administrators` Guide" ein
> Beispiel gefunden. Exports sieht jetz folgendermaßen aus:
>
> / *.sabuwe
...
> Eintrag in der fstab geändert auf:
> server:/ / nfs exec,dev,suid,rw 2 2
....
> $less /var/log/messages antwortet mit "Zugriff verweigert"
Und damit hat der server die korrekte Antwort gegeben.
> Das Verzeichniss ist aber leer.
Auch das ist klar.
> Was Nun?
Lesen.
man exports
Ich 'lese' jetzt mal Deine Absichten aus Deiner fstab im Verbund mit
Deiner (dafür nicht geeigneten) exports.
Du willst den server alles '/' exportieren lassen und Rechner der domain
sabuwe sollen lesend+schreibend, ausführend und als root auf dem
nfs-server rumfingern dürfen.
Mal abgesehen davon was daran sinnvoll sein soll, wenn Du auch nur
annähernd solch weitgehende Rechte auf den importierenden Systemen haben
willst, wirst Du die doch so "Richtige" exports Datei noch ein wenig
überarbeiten müssen.
Kurz vorweg, das Zauberwort heißt 'root_sqash'
Zwei Fundstellen dazu aus 'man exports': (-->User ID Mapping)
Very often, it is not desirable that the root user on a
client machine is also treated as root when accessing
files on the NFS server. To this end, uid 0 is normally
mapped to a different id: the so-called anonymous or
nobody uid. This mode of operation (called `root squash
ing') is the default,
^^^^^^^
Also: *Sicherheit* ist hier die Grundeinstellung, wenn auf dem server
nicht ausdrücklich etwas anderes eingestellt wird.
Will heißen, ein root auf einem nfs-client ist *nicht* in einem
Streich der root des Servers.
Das erklärt Deine Beobachtungen (permission denied + Verzeichnis leer).
Weiter heißt es dann in man exports:
(...s.o) and can be turned off with
no_root_squash.
^^^^^^^^^^^^^^
Wer es also in einem LAN mit nfs noch unsicherer will, kann den client-roots
durch die Angabe 'no_root_squash' in der exports des servers jeglichen
Zugriff auf den server freigeben.
Ist es das was Du willst?
Karl-Heinz
Mehr Informationen über die Mailingliste linux-l