NFS mit gescheiter Auth?

I

I.MC

Watt soll denn hier hin?
Hi!

Mal ne Frage, habe mich gerade zu ersten Mal mit NFS beschäftigt. Das ist ja wohl ein Witz mit dessen Authentifizierung, oder?

Da kann ja jeder der auf seiner Maschine root Rechte hat im schlimmsten Falle rumwüten wie er will. Gibt es nicht eine Möglichkeit per User/Passwort zu Auth. antstatt nur per IP oder DNS???

Kumpel erzählt mir gerade was von NFS4...

Gruß, incmc
 
Ist das jetzt ne rhetorische Frage?

Laut dem Handbuch kann jeder der auf der Klientmaschine root Rechte hat auf der Freigabe schreiben (wenn dies schreiben für root erlaubt).
Da als sonstige Auth, nur DNS oder IP geht, kann sich also jeder ne IP mopsen die zugelassen ist oder der DNS könnte gefälscht werden und dann werde ich lokal SU und schon kann ich auf der NFS Server alles platt machen.

Oder übersehe ich da jetzt etwas?

Gruß, incmc
 
Das mit root stimmt so nicht ganz, denn eigentlich wird root von NFS auf nobody gemappt. Aber ansonsten hast du Recht, wenn die IP und UID stimmt, kann da jeder wueten.

Man muss aber im Hinterkopf behalten, fuer welche Zwecke NFS konzipiert wurde. Und da kommen solche Szenarien nunmal nicht vor (da gabs noch keine Laptops oder gar PCs).

Du solltest dir vielleicht mal SFS oder AFS oder gar CODA ansehen...
 
Was ist mit besagtem NFS V4? Damit soll das besser gehen. Weiss da einer etwas zu?

Gruß, incmc
 
AFS finde ich schon mal keinen stabilen Server zu. Aber SFS scheint interessant zu sein... FTP Mounten geht nicht soweit ich weiss, oder gibt es da was neues?

Grußl, incmc
 
Tja und da probier ich dann doch kurz NFS aus und stelle fest, dass man in jails leider nicht den nfsiod starten kann... grummel.

Gruß, incmc
 
Ja, NFS geht nicht mit einer Jail.
Was Du machen kannst ist einen NFS loopback mount vom hostsystem in das Jail-Verzeichnis, bzw. die Nutzung von "mount_nullfs".
 
Ich guck mir erst mal SFS genauer an, da scheint ja auch eine gescheite Auth. möglich zu sein.

Gruß, incmc
 
Zu mount_null (nicht mount_nullfs :-) sei noch gesagt, dass das zwar gut wäre aber total buggy sein soll.

Auszug aus man page:

THIS FILESYSTEM TYPE IS NOT YET FULLY SUPPORTED (READ: IT DOESN'T WORK) AND USING IT MAY, IN FACT, DESTROY DATA ON YOUR SYSTEM. USE AT YOUR OWN RISK. BEWARE OF DOG. SLIPPERY WHEN WET.

Gruß, incmc
 
@incmc: nicht lesen, probieren.
ich hab es auf mehreren, teils hochproduktiven servern am laufe und nicht einen fehler in den letzten 2 jahren bemerkt.
 
Habe es ja bereits laufen :-). Allerdings bleibe ich da vorsichtig!
Aber um ports zu sharen (read only) bzw. bereitzustellen für mehrere Jails finde ich, dass das durchaus vertretbar ist.

Gruß, incmc
 
Ja, nur für wichtigere Sachen wie Apache Content mounten etc. werde ich das nicht nehmen, wenn da in der man page so "nette" Hinweise stehen :-)

Mich ärgert nur, dass einem quasi die Hände gebunden sind.

1) NFS V4 friemelt wohl einer gerade dran rum, ob das fertig wird... auf jeden Fall noch nicht vorhanden unter FreeBSD

2) FTP mounten geht auch noch nicht, weil ebenfalls noch nicht implementiert.

3) NFS < V4 kann man vergessen bei jails, weil der Klient nicht startbar ist. Weiss nicht mal ob das mit V4 geht.

4) SFS scheint mir immer eine interaktive Passphrasenabfrage zu benötigen, also nix beim booten mounten. (Das habe ich aber bis jetzt nur überflogen)

5) AFS finde ich keinen stabilen Server in den Ports.

Und dann kommt nen Kumpel mit seinem Debian und hat NFS V4 und kann FTP mounten, grummel :-)

Aber zumindest die Ports sharen kann man ja gut mit mount_null machen. Ein Problem weniger. Mal gucken, was das Jahr bringt...


Gruß, incmc
 
mhmmmm, ich weis noch nicht wo das problem liegt.
wenn ich ein netzwerk habe, dann gibt es exakt einen, der das root-pw hat. gemountete dirs über nfs sind da ja genauso geschützt wie lokal. d.h. verzeichnisse auf die ich keine leserechte habe (z.b. andere home's) bekommeich als normaler user auch nicht angezeigt.
diese szenario is natürlich nur sinnig wenn es auf jeder maschine dieselben userdaten in den selben id's gibt. aber dann seh ich eigentlich keine probleme. im gegenteile: einfache gehts eigentlich nicht :)
 
Ja, aber wie gesagt, mount_null ist nicht perfekt laut man page und nfs geht nicht wegen jails. Aber für ports ok...

Gruß, incmc
 
Sag das nicht, wer weiss, nur weil ich nur die ports mounte heisst das ja nicht, dass weil alles nur recht buggy ist es nicht möglich sein könnte aus diesem Verzeichnis auszubrechen etc.

Das ist ja das Problem...

Gruß, incmc
 
Allerdings port read only mounten war sehr schlau.... da können die jails ja gar nicht die distfiles dort ablegen, geschweigedenn entpacken... :-)

Gruß, incmc
 
Wo ist das Problem mit mount_nullfs?
Ich mounte die /usr/ports nur temporär in die Jails, wenn ich sie dort brauchen. Danach wieder einen umount.
Wenn es wirklich um Sicherheit geht, dann würde ich auch nicht auf NFS oder FTP setzen sondern der Jails die eignene Ports geben. Soviel MB sollte ja noch frei sein.
 
Ja die MBs sind nich das Prob. Nur das ist nen P200 und da sind 3 Jails drauf, bald evtl. sogar 4. Wenn die alle nachts ein portsdb -Uu rennen lassen, dann.... weisste was los ist. Ein einzelner Lauf dauert 3 Stunden. D.h. der Server ist quasi nur noch am rechnen, anstatt seine Dienste gescheit anzubieten.

Ich überlege, einfach nur auf dem Hostsystem ein portsdb -Uu rennen zu lassen und das neue INDEX und INDEX.db irgendwie automatisch von den Jails ziehen zu lassen. So gehe ich auf Nummer sicher...

Gruß, incmc
 
Dann lösch doch in der Nacht die ports in den Jails vom hostsystem aus und kopiere die ports wieder mittels cpdup rüber.
Oder einfach die INDEX rüberbügeln.
Oder rsync nutzen um /usr/ports abzugleichen.
Oder....
Es gibt genung Möglichkeiten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben