[linux-l] AFS, war: Filesystem fuer Hardwarezoo ?
Robert C. Helling
R.Helling at damtp.cam.ac.uk
Di Apr 12 16:44:25 CEST 2005
On Tue, 12 Apr 2005, Jens Dreger wrote:
> Benutzt hier irgendjemand AFS und kann wenigstens sagen, ob das den
> Ausfall von mehreren Rechnern verkraftet? Es waere sogar ok, wenn
> einige Files dann eben eine Weile nicht mehr zugreifbar waeren. Aber
> sowas wie NFS, wo gleich alles einfriert, bis der Server mal wieder da
> ist, sowas geht definitiv nich' :)
Meine Erfahrung ist: Bloss Finger weg von AFS, das ist total krank. Ich
war drei Jahre an einem MPI, wo das mal ein Dipl-Informatiker (FH) als
Diplomarbeit eingerichtet hatte. Dann hatte er die feste Anstellung da
auch sicher, weil niemand anders damit umgehen konnte, und seitdem er doch
weg ist, ist die Kacke noch mehr am dampfen.
Ist ein typischer Fall von "im Prinzip eine gute Idee...". Ich zaehle mal
ein paar features auf:
- Erstmal wie NFS, aber mit lokalem Cache und daher viel schneller. Wenn
der Server weg ist, steht aber auf einmal doch alles (war zumindest am
MPI so).
- Das ganze ist wirklich Netzbasiert, dh im Prinzip ist jedes LAN, das AFS
faehrt in meinem filesystem, zB war dann mein home dir am DESY einfach
/afs/desy.de/home/helling/
- File permissions sind nicht pro file sondern pro directory (bzw es wird
die Schnittmenge zwischen AFS- und Unix-Rechten gebildet). Und es gibt
nicht nur User, Group, World, sondern ich kann im Prinzip jedem User
weltweit einzeln (oder in beliebigen Gruppen) diverse Rechte zugestehen
(lesen, schreiben, dir listen, files loeschen und erzeugen, permissions
veraendern etc).
- Typischer Weise ist jedes LAN eine sogenannte Cell. Und pro Benutzer pro
Zelle kann ich authentifiziert sein, dh ich kann fuer Benutzer helling und
cell desy.de ein sogenanntes token haben. An das komm ich auf verschiedene
Arten, zB per Login oder nachtraegliche Passworteingabe oder eben
Kerberus.
- Und jetzt kommt das ganz grosse Problem: Aus Sicherheitsgruenden haben
die Tokens eine endliche Lebenszeit, typischer Weise ein paar Tage. Nun
ist es leider so, dass eben diverse Systemdienste auch auf Files zugreifen
muessen (zB Drucker spooler, Webserver, you name it). Und die muessen dann
entsprechend auch diese tokens haben. Und dann passiert es immer wieder,
dass deren Token expired. Und dann druckts immer auf einmal nicht mehr.
Oder Webseiten haben "permission denied". Und das sind dann noch die
offensichtlichen Faelle. Ich wuerde sagen, mindestens 50% der Probleme,
die in dem MPI auftraten, lagen daran, dass irgendeinem Dienst das Token
expired war. Oder ganz toll, man hat ein Programm, das ein paar Tage
rechnet und dann die Ergebnisse nicht mehr abspeichern kann, weil es auf
einmal seine Rechte verloren hat. Und viele Programme machen dann einfach
die Graetsche, weil sie nicht damit rechnen, dass eine einmal geoeffnete
Datei ploetzlich nicht mehr lesbar ist oder so. Und Sicherheitsprobleme
gibt's erst recht: Die typische (und von IBM in der FAQ propagierte
Loesung) ist naemlich, das Passwort in Klartext in eine lokale Datei zu
tun und diese periodisch in das Tokenbeschaffungsprogramm zu pipen. ZB der
Webserver wird dort alle 12 Stunden per Cronjob gekillt und dann mit neuem
Token neu gestartet. Und dass die accounts fuer Systemdienste maechtig (im
Sinne von Rechten) sein muessen, brauche ich nicht zu erwaehnen. Als
Doktoranden hatten wir immer viel Spass, mal wieder nach Passwortdateien
zu suchen und uns so Systemrechte zu beschaffen. Irgendwann hatten sie
zwar kapiert, dass man fuer diese Dateien die Weltleserechte entfernen
muss (und es nicht reicht, die Datei als .printer_password tief in einer
Directorystruktur zu verstecken). Dann darf man aber das Systembackup
nicht mit tar machen und die .tgz Datei world readable lassen...
Fazit: Damit wird man nicht froh und handelt sich nur Aerger ein.
Robert
--
.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oO
Robert C. Helling School of Science and Engineering
International University Bremen
print "Just another Phone: +49 421-200 3574
stupid .sig\n"; http://www.aei-potsdam.mpg.de/~helling
Mehr Informationen über die Mailingliste linux-l