abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
13.9. 22:00 | Nová verze

Po roce a čtvrt od vydání verze 12.0 byla vydána verze 13.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání. Zmínit lze například podporu Dolby TrueHD a DTS-HD Master Audia.

Ladislav Hagara | Komentářů: 2
13.9. 16:33 | Zajímavý projekt

Blockchainový projekt Tezos nedávno prošel procesem hard-forku a zrodil se nový projekt Dune Network. Držitelé XTZ tokenů si již bezpečně mohou vyzvednout své DUN tokeny a delegovat je na nějakou z veřejných Dune baker služeb jako je třeba Dune Whale.

Mark Stopka | Komentářů: 4
12.9. 23:33 | Komunita

Na Humble Bundle lze zdarma na Steamu získat Endless Space Collection, tj. počítačové hry Endless Space a Endless Space - Disharmony. Endless Space Collection je oficiálně pro Windows a macOS. Díky Protonu ale také pro Linux. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 3
12.9. 20:44 | Bezpečnostní upozornění

Společnost AdaptiveMobile Security zveřejnila informace o možných útocích na SIM kartu. Útočník může pomocí SMS řídit SIM kartu a skrze ní mobilní telefon oběti. Více na stránce Simjacker.

Ladislav Hagara | Komentářů: 15
12.9. 19:44 | Nová verze

Po půl roce vývoje od vydání verze 3.32 bylo vydáno GNOME ve verzi 3.34 s kódovým názvem Thessaloniki. Videoukázka na YouTube. Vydání obsahuje 23 929 změn od přibližně 777 přispěvatelů. Přehled novinek i s náhledy v již přeložených poznámkách k vydání a v novinkách pro vývojáře a správce systémů.

Ladislav Hagara | Komentářů: 13
12.9. 11:22 | Pozvánky

Největší česká linuxácká akce LinuxDays 2019 má hotový program. Těšit se můžete na přednášky, workshopy, stánky a spoustu doprovodného programu. Zároveň s programem byla také spuštěna registrace účastníků, takže se můžete přihlašovat. Vstup je jako obvykle zdarma. Konference LinuxDays se uskuteční 5. a 6. října v pražských Dejvicích na FIT ČVUT.

Petr Krčmář | Komentářů: 7
11.9. 23:14 | Pozvánky

Spolu se společnou celosvětovou stávkou za klima proběhne 20. září také digitální stávka za klima, které se může snadno zúčastnit každý web. Česká odnož iniciativy podporuje akci Týden pro klima, v jejímž rámci probíhá mnoho aktivit po celé ČR. Zájemci o účast najdou dokumentaci a technickou podporu na českém webu akce.

milosk | Komentářů: 373
11.9. 22:11 | Komunita

Richard Hughes na svém blogu informuje, že se společnost Acer zapojila do projektu LVFS (Linux Vendor Firmware Service). Uživatelé zařízení od Aceru tak budou moci provádět aktualizace firmwarů přímo z Linuxu. Prvním podporovaným zařízením je notebookem Aspire A315. Přehled všech podporovaných zařízení na stránkách LVFS.

Ladislav Hagara | Komentářů: 0
11.9. 21:11 | Nová verze

Google Chrome 77 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 77.0.3865.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 52 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
11.9. 14:11 | Nová verze

Po pěti měsících od vydání verze 5.6 byla vydána verze 5.7 svobodného multiplatformního softwaru pro konverzi a zpracování digitálních fotografií primárně ve formátů RAW RawTherapee (Wikipedie). Nová verze RawTherapee je k dispozici také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0
Kdy jste naposledy viděli počítač s připojeným běžícím CRT monitorem?
 (23%)
 (3%)
 (12%)
 (30%)
 (31%)
 (2%)
Celkem 117 hlasů
 Komentářů: 15, poslední dnes 16:45
Rozcestník

NFS+NIS+LTSP - přihlašování na server

21. 4. 2005 | Zdeněk Štěpánek | Bezpečnost | 23171×

Typická situace. Hromada windowsových počítačů, které se přihlašují do domény na Sambě v Linuxu. Přeneseno do řeči unixáků, win stanice je jakoby tlustý klient a domácí adresář si tahá ze serveru. Nyní si popíšeme, jak to samé rozjet na linuxové stanici, a nakonec to doplníme o LTSP server.

Ze serveru potřebujeme na stanici dostat dvě věci: uživatelův domácí adresář (/home) a seznam uživatelů s hesly. K prvnímu nám poslouží NFS (Network File System) a k druhému NIS (Network Information Service). Dříve se používalo označení YP (Yellow Pages) a dodnes je to patrné z názvu programů. Pro tento účel by šly použít i modernější technologie jako je LDAP, PAM atd. My se ale budeme zabývat NISem.

NFS

Co je NFS, snad není potřeba sáhodlouze popisovat, takže jen ve zkratce. Je to unixový síťový filesystém, která podporuje uživatelská práva ve formátu UGO (User Group Other), tedy to, co známe z Linuxu. Na rozdíl od většiny ostatních protokolů (FTP, SMB, ...) je to bezestavový protokol. Neexistuje nic jako navázané spojení, přihlašování se apod. Klient pouze pošle na server požadavek, např. "vylistuj ./", a server mu odpoví. Pokud je klient nečinný, vůbec nevadí, pokud server odpojíme nebo restartujeme, klient si toho prakticky ani nevšimne. Běda však, pokud pracujeme na stanici s /home přes NFS a server se odpojí - systém doslova zamrzne pod rukama. Po nahození serveru se vše rozjede bez problémů.

NIS

NIS je klient/server systém pro zpřístupnění dat ze serveru na klienty. Alespoň taková je obecná definice. Postupně se ale vyprofiloval do systému, který zpřístupňuje data související s přihlašováním, hesly apod. Konkrétně jsou to tyto soubory (přesněji mapy):

ls /var/yp/domena.tld/

group.bygid
group.byname
hosts.byaddr
hosts.byname
mail.aliases
netid.byname
passwd.byname
passwd.byuid
protocols.byname
protocols.bynumber
rpc.byname
rpc.bynumber
services.byname
services.byservicename

Jak je vidět, řada souborů se exportuje vícekrát; rozdíl je v interním řazení položek.

Cílem NIS serveru je exportovat uživatelská jména a hesla ze serveru na stanice tak, aby se na stanici mohl přihlásit uživatel, který tam nemá lokální účet - obdoba přihlašování do domény u Windows.

Nastavení NFS na serveru:

NFS vyžaduje podporu v jádře. Distribuční jádra ji snad mají všechny a pokud ne, tak ji stačí dokompilovat. Jsou tam volby "NIS server" a "NIS klient" a vedle toho ještě zapnutí podpory NFS v3. Verze 3 je zastaralá už teď, takže určitě zapnout. V posledních jádrech nebo v -mm, -ac apod. by už snad měl být NFS v4. Dále je potřeba několik balíčků do systému. V textu budu popisovat situaci, kde klient je slackware-current a server je Red Hat 9.0. Je potřeba nainstalovat služby "portmap" a "nfs".

Nastavení, které se bude exportovat (neboli sdílet) je v /etc/exports:

cat /etc/exports

/home 192.168.5.143/255.255.255.255(rw,no_root_squash,sync)

Syntaxe je následující:

  • /home
    Adresář, který se bude exportovat.
  • 192.168.5.143/255.255.255.255
    Kdo bude mít přístup.
  • rw
    read/write
  • no_root_squash
    roota nebude přemapovávat na bezpečné UID/GID.
  • sync
    Bude pracovat synchronně.

NFS nemá žádné vlastní bezpečnostní mechanismy (vyjma squashování UID/GID), jako je jméno a heslo. Adresář může připojit každý, kdo se nachází v rozsahu povolených IP adres. Pokud to chcete povolit pro celou síť, asi použijete 192.0.0.0/255.0.0.0.

Squashování UID/GID znamená, že pokud se na adresář snaží přistoupit user s UID 100, tak na NFS serveru bude mít UID 65435. UID se překlopí ke konci rozsahu. Stejně to funguje i pro GID. Lze nastavit i konkrétní UID číslo, na které se budou všichni klienti přemapovávat. Tento bezpečnostní mechanismus lze využít při vytváření public adresáře, ale pro nás je to nepoužitelné. NFS rozlišuje mezi squashováním obyčejných uživatelů (all_squash) a roota (no_root_squash). Squashování pro uživatele je ve výchozím nastavení vypnuté a pro roota zapnuté. Já osobně jsem squashování pro roota vypnul, abych se jako lokální root na stanici dostal do všech složek na serveru, nicméně to není nezbytně nutné a samozřejmě to představuje jisté bezpečnostní riziko. Pokud by se k adresáři připojil někdo, kdo má na své stanici roota, získá tak rootovský přístup ke všem home adresářům.

Nyní můžeme NFS server pokusně spustit:

service portmap start
Starting portmapper:        [  OK  ]

service nfs start
Starting NFS services:      [  OK  ]
Starting NFS quotas:        [  OK  ]
Starting NFS daemon:        [  OK  ]
Starting NFS mountd:        [  OK  ]

Pokud vše dobře dopadne, nastavte automatické spouštění služeb portmap a nfs při bootu.

Nastavení NFS u klienta

Potřebujeme balíčky "nfs-utils" a "portmap".

Připojování NFS adresáře se nastavuje klasicky v /etc/fstab:

192.168.1.2:/home /home nfs defaults 0 0

Syntaxe je následující:

  • 192.168.1.2
    IP serveru.
  • /home
    Adresář, který připojujeme.
  • /home
    Kam ho připojíme na stanici.
  • nfs
    Typ filesystému.
  • defaults
    Parametry pro mount a NFS klienta.
  • 0 0
    Klasické major a minor.

U klienta si lze pohrát s celou řadou parametrů. Vedle standardního "defaults" mohou mít zásadní vliv na rychlost spojení, nicméně nelze dát žádný obecný návod - musíte prohledat diskuze a zkoušet. How-to doporučuje parametry "hard,intr".

Zkusíme připojit /home na stanici. Na pokus se hodí buď testovací stroj, kde není žádný uživatel mimo roota, nebo připojovat do jiného adresáře, např /serverhome. Měly by být vidět všechny adresáře uvnitř i se správnými UID a GID; prozatím ale pouze jako čísla, protože na stanici nejsou uživatelé s těmito UID a GID.

/etc/rc.d/rc.portmap start
Starting RPC portmapper:  /sbin/rpc.portmap

/etc/rc.d/rc.nfsd start
Starting NFS services:
  /usr/sbin/exportfs -r
  /usr/sbin/rpc.nfsd 8
  /usr/sbin/rpc.mountd
  /usr/sbin/rpc.lockd
  /usr/sbin/rpc.statd

mount /home

Pokud vše dobře dopadne, nastavte automatické spouštění služeb portmap a nfs při bootu. Adresář /home se bude připojovat sám.

Více o NFS lze najít v Linux NFS-HOWTO.

Příště

V druhém díle bude práce dokončena nastavením NIS na serveru a u klienta a instalací LSTP.

       

Hodnocení: 100 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

21.4.2005 07:15 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše no hezké no
někde jsem ovšem četl, nebylo-li to možná tu, že NFS je pěkně nenažraný systém co se vytížení sítě týče. Zajímalo by mě jak to teda je. Není tu o tom ani zmínka.
Josef Kufner avatar 21.4.2005 07:31 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše Re: no hezké no
Z vlastni zkusenosti muzu potvrdit, ze je daleko uspornejsi nez ftp a znatelne uspornejsi nez samba. Porovnavam maximalni dosazenou prenosovou rychlost: na NFS kolem 11-13MB/s, na sambe 6-8, na ftp kolem 5MB/s.
Hello world ! Segmentation fault (core dumped)
21.4.2005 08:09 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: no hezké no
takže začne-li mi jeden klient pracovat s NFS jak urvaný tak se dá říct že 100mbit síť bude zahlcená.
21.4.2005 08:47 petr_p
Rozbalit Rozbalit vše Re: no hezké no
Klasicke NFS nad UDP ma vlastni implementaci congestion window, takze by k zahlceni dojit nemelo. Nicmene dnes je linuxovy TCP stack natolik efektivni, ze muzete pouzit NFS nad TCP a zatizeni CPU se nijak nebude nijak odlisovat (dokonce se vedou famy, ze je i mene narocne).
21.4.2005 09:54 Chulda
Rozbalit Rozbalit vše Re: no hezké no
Uspornejsi? Jak to myslite? Mam tu NFS i FTP s max cca 10MBps na tom samem stroji (ne soucasne, samozrejme). Narocnost lze IMHO jednoduse odvodit z protokolu (co zabiraj hlavicky, co data a jak casto apod) ale v tom se nevyznam.
21.4.2005 16:53 Pinky | skóre: 30
Rozbalit Rozbalit vše Re: no hezké no
Skutečně se ale nenažreným může stát(stalo se), v tom smyslu že ftp i sambu při přenosu zatlačí do kouta( nedostanou přenosové pásmo) ale záleží to na více parametrech a nelze to říci obecně.
21.4.2005 07:59 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Díky za článek
V nejbližší době budu NIS a NFS taky zavádět.
21.4.2005 08:03 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše NFS
Zdravim

Ono je to tim ze NFS defaultne jede pres UDP, coz ma za nasledek dve veci: velkou prenosovou rychlost a tim i vetsi zatizeni site. Jde zapnout i TCP rezim, i kdyz nevim jaky to ma vliv na rychlost.

I kdyz nekdo na NFS nadava kde muze, vpodstate neexistuje rozumna nahrada, jsou tu jen overkill projekty typu CODA, ktere ne vzdy uspokojive funguji. A pouziti nbd (network block device) se mi nezda jako vhodny a vyzkouseny napad.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
21.4.2005 08:49 بطرس
Rozbalit Rozbalit vše Re: NFS
1) trochu nechapu, jak muze pouziti UDP znamenat vetsi zatizeni site. V pripade TCP to prece padne na rezii protokolu, ne?

2) jak je to s bezpecnosti NFS a hlavne NIS?
4.5.2005 10:45 Beda
Rozbalit Rozbalit vše Re: NFS
rika se tomu UDP storm.

a vypada to krom jineho tak, ze pokud mate povoleny tcp window scaling, tak se resiznou vsechny spojeni az na minimalni velikost prenosoveho okna. coz u linek treba do australie kde je rtt okolo 200ms kdyz se opravdu zadari a kdyz se nezadari a je po ceste treba chybova linka muze znamenat prenosovy rychlosti vyrazne pod 1kb/s i na 100MBit/s lince.
21.4.2005 09:33 kukacz | skóre: 1
Rozbalit Rozbalit vše Re: NFS
Jeste je tady OpenAFS, ktery je v produkcnim nasazeni (jako pokracovatel AFS) pouzivan jiz temer 20 let. System ma svoje mouchy, vyplyvajici prevazne z jeho dlouhe historie a i jeho soucasni vyvojari uznavaji, ze nektere casti by dnes bylo treba kompletne "prepsat".

Presto jej ale pouziva napr. velka cast z nejvetsich svetovych univerzit (MIT, Univ. of Michigan ad., v Cesku napr. ZCU Plzen) i komercni organizace s pobockami po cele zemekouli. Duvodem je urcite jeho ohromna distribuovanost a skalovatelnost, podpora vetsiny operacnich systemu (unixovych, Mac i Windows) a treba i pritomnost sofistikovaneho zalohovaciho systemu.

Pro jeho nasazeni v nekterych sitich muze byt argumentem i to, ze probiha velmi aktivni vyvoj jeho Windows klienta.
21.4.2005 11:38 zzz
Rozbalit Rozbalit vše Re: NFS
Jste si jist, ze NFS defaultne jede pres UDP?

Ja se vzdy domnival, ze ve verzi 3 se defaultne pouziva TCP. Jednak nfs(5) explicitne zminuje "tcp - Mount the NFS filesystem using the TCP pro­tocol instead of the UDP protocol.This is the default, but in case it fails (many NFS servers only support UDP) it will fallback and try UDP." a navic kdyz pouziji "tcpdump -i eth1 udp" pro vypsani UDP paketu, tak se nevypisuje nic, zatimco "tcpdump -i eth1 tcp" vypisuje cilou NFS aktivitu.

Myslim, ze clanek by mel zminit, ze NIS je v soucasne dobe zoufale zastarala jmenna sluzba, ktera se pouziva hlavne z duvodu zpetne kombatibility a kvuli tomu, ze prechod na LDAP neni u rady siti zcela trivialni a levna zalezitost.

Bezpecnost NFS je v soucasne dobe zoufala. V praxi pouzitelne reseni se ale mozna najde pres bezpecnostni mechanismy IPv6.

My tu NFS i NIS pouzivame, ale v budoucnu bych radsi presel na LDAP a podstatne bezpecnejsi verzi NFS nebo nejakou variantu AFS.
21.4.2005 09:25 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše ...
Zdravim

Nebudu ze sebe delat experta co ma NFS v malicku, ale obecne se rika ze protokoly co pouzivaj UDP maji vetsi propustnost na ukor ostatnich, protoze obchazeji obecne TCP flow control a tak vlastne tyto mechanismy nemaji nastroje jak UDP omezit.

Bezpecnost NFS i NISu je bidna.

O bezpecnosti NFS jsem napsal par slov v clanku a jeste dodam ze neni po ceste nijak chraneny, teoreticky by to melo jit poslat skrz SSH (SSL) tunel, ale nezkousel jsem to.

U NISu to bude asi jeste horsi, howto o nejake autentizaci uplne mlci, zrejme bude potreba pouzit autentizaci v RPC vrstve (jestli tam nejaka je) nebo vyuzit hosts.deny apod. Je potreba si uvedomit ze je to znacne stary protokol ktery vznikl na solarisu, mozna jeste driv.

Mimochodem, hned prvni veta z howto ohledne stinovych hesel:

Shadow passwords over NIS are always a bad idea.

Dale se tam pise ze se NISem ztrati vyhoda stinovych hesel a ze praci s nima zvlada jen Linux a jen s glibc 2.x a novejsim. Libc 5 to neumi. Vzdyt rikam, ze je to stare.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
21.4.2005 19:39 jazz
Rozbalit Rozbalit vše Re: ...
NFS: Tunelovani pres SSH asi nebude nejlepsim resenim, protoze by se pro kompletni funkcnost musela tunelovat i spousta jinych sluzeb (portmap, nlockmgr, mountd, status a treba i rquotad). Dalsi problem je v tom, ze tyto sluzby pouzivani porty dynamicky (vymezeny range - o hlaseni pro clienta se stara portmap), takze pri sestavovani tunelu bysme museli pro ssh vytvorit tento seznam a cisla portu by samozrejme nesmela kolidovat s obsazenymi porty na localhostu (a mame tu problem minimalne s portmapem, ktery je vzdy na 111). A jako "snad posledni" omezeni je tunelovani pouze TCP, protoze s UDP ma ssh problemy a myslim, že mozna ani nechodi. Takze tato moznost je podle me nerealna.

NIS: Jen tak mimochodem, pokud budeme NIS pouzivat i pro Solaris (8,+?), tak pozor, protoze ten neumi, krom "stinovych hesel", hesla v MD5 tvaru ($1$...), ale pouze CRYPT. Pristup k NIS se da nastavit v souborech ypserv.securenets a ypserv.conf, kde je i moznost nastaveni cteni NIS map z pouze privilegovanych portu klienta (takze root a jeho daemoni :).

To, ze jsem paranoidni jeste neznamena, ze po mne nikdo nejde.
22.4.2005 01:40 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: ...
Je tunelovani a tunelovani. Mate-li na mysli sshtun, mate pravdu, pokud pouzijete vtun, openvpn apod. - tzn. VPN, tak nic dalsiho neresite. Ve skutecnosti je NFS systemem pro duveryhodne site, tzn. intranety, pripadne VPN. A z tohoto pohledu je dobre, ze se nesnazi resit neco, co se da vyresit jinak. To stejne plati samozrejme i pro NIS.
Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.
27.4.2005 10:58 jazz | skóre: 8 | blog: prostě... tak | třeba Praha
Rozbalit Rozbalit vše Re: ...
Tak i tunelovani NFS pres SSH je mozne (pred tim jsem se malicko sek - logicka dedukce a lehka znalost RPC, ale napravuji): Tunneling NFS through SSH

O VPN jsem se zatim nemel cas zajimat, a proto me ani tato moznost nenapadla, ale mate pravdu.
To, že jsem paranoidní ještě neznamená, ze po mně nikdo nejde...
21.4.2005 11:45 Marek Rychlý | skóre: 5 | Pohořelicko
Rozbalit Rozbalit vše Vyhody oproti LDAP+PAM

Jake vyhody prinese popisovane reseni oproti pouziti LDAP+PAM nebo navic s autentizaci pres Kerberos?

Myslim, ze LDAP je bezpecnejsi a lze ho vyuzit pro sdileni uzivatele ve vice prostredich. NIS je mozna lepsi na sdileni jinych udaju, nez jsou zrovna uzivatele.

21.4.2005 13:20 zzz
Rozbalit Rozbalit vše Re: Vyhody oproti LDAP+PAM
NIS je zastarala jmenna sluzba a pokud mate moznost pouzit LDAP, tak na ni s klidem zapomente - zadne vyhody by Vam neprinesla. Bezpecnostni nedostatky NIS se Sun pokusil odstranit v NIS+. Na rozdil od NIS ale nedal k dispozici zdrojove kody a o rozsireni se pokousel licencovanim. Jine velke unixove firmy (IBM, HP, ...) ale zajem o NIS+ neprojevily, a tak je tato sluzba v podstate mrtrva, i kdyz nektere firmy ji mozna jeste pouzivaji.

V soucasne dobe se v podnikove sfere prosazuje LDAP. Potiz je ale v tom, ze blbovzdorne klikaci nastroje pro spravu jsou pomerne drahe. Free nastroje existuji, ale pred nejakou dobou bylo jejich pouziti problematicke v heterogennich sitich, ktere konfigurovali i administratori MS-Windows zvykli vyhradne na GUI.

Napriklad ja jsem zvazoval prechod na LDAP pod Linuxem asi pred rokem, ale kvuli administratorum MS-Windows jsem to vzdal. Ted pokukuji po ZENworks od Novellu, ale zatim me odrazuje cena.
21.4.2005 13:02 yeckel | skóre: 10 | Plzen
Rozbalit Rozbalit vše co kdyz padne root?
Chapu dobre, ze pokud nekdo dostane na klientske stanici roota, tak se muze vesele dostat do domacich adresaru VSECH uzivatelu? Pekne nebezpecne :( Server jeste schovam za dvere, ale pracovni stanice? Nebo kdyz si nekdo nekdo vytahne kablik a pichne si ho do booka, tak jsem asi taky propadajici, ne? Je tohle nejak reseno ve v4? Jestli jsou me domenky spravne, tak nechapu jak to muze normalni spravce nasadit. :o
21.4.2005 13:18 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: co kdyz padne root?
Zdravim

No od toho tam je to squashovani roota. Pokud ho explicitne vypnes tak mas ve vsem pravdu, ale na to jsme v clanku upozornoval. Jenze defaultne je to zapnute a tudiz pokud mas u sebe lokalniho roota a chces s tim na NFS server tak tam jdes jako uzivatel nobody nebo anonymous.

citace z man exports:

Very often, it is not desirable that the root user on a client machine is also treated as root when accessing files on the NFS server. To this end, uid 0 is normally mapped to a different id: the so-called anonymous or nobody uid. This mode of operation (called "root squashing") is the default, and can be turned off with no_root_squash.

Jinak v manu jsem jeste nasel neco o auth_nlm, asi by se to tim dalo taky nejak zabezpecit.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
21.4.2005 13:35 zzz
Rozbalit Rozbalit vše Re: co kdyz padne root?
Popsany problem se squashovanim roota nesouvisi. Zna-li nekdo heslo roota na klientske stanici, pak se pres "su - uzivatel" muze prepnout na daneho uzivatele (toto je zvlast snadne, pouziva-li se zaroven NIS). NFS server ho od praveho uzivatele "uzivatel" nerozezna a umozni mu plny pristup do home adresare uzivatele "uzivatel". Nejedna se o bezpecnostni chybu, ale o dostatecne znamou vlastnost NFS. Problem je, IMHO, odstranen v Secure NFS, ale to neni v Linuxu implementovano a v praxi se pouziva minimalne.
21.4.2005 22:09 Drak
Rozbalit Rozbalit vše Re: co kdyz padne root?
I kdyz se root nesquashuje, tak kdyz nekdo prijde s notasem, pichne do site a udela si uzivatele s libovolym UID, dostane se k jakymkoliv datum uzivatele se stejnym UID na serveru, takze ani tak bezpecnost nic moc.

Ty cisla ve fstabu nejsou zadna klasicka major/minor, ale prvni cislo (paty sloupec) je pro dump, a urcuje, ma li se filesystem zalohovat (viz dump(8), fstab(5)), a druhe cislo (sesty sloupec) udava poradi, v jakem se ma provadet fsck filesystemu pri bootu (viz fstab(5)). Kdyz to zminujete v clanku, proctete si predtim aspon manual, kdyz nevite co ta cisla znamenaji.

S parametry mountu si chce trochu pohrat, hlavne s velikosti cache (rsize=8192,wsize=8192) nastavuje read/write buffer na 8K, ale optimalni parametry fakt nevim, tohle je z manualu... hard - v pripade ze NFS server chcipne, proces se zavesi a bude cekat v uninterruptable sleepu na jeho probuzeni. intr - v soucinnosti s hard povoli prerusit hangnuty proces cekajici na I/O soft - kdyz se server nedostupny, proces nakonec vytimeoutuje... Teoreticky... ;-) viz mount(8)

Jinak tohle tema me zajima, tak jen tak dal, jen trosku pecliveji prosim. :-)
hajma avatar 22.4.2005 10:45 hajma | skóre: 27 | blog: hajma | Říčany
Rozbalit Rozbalit vše Re: co kdyz padne root?
S parametry mountu si chce trochu pohrat, hlavne s velikosti cache (rsize=8192,wsize=8192) nastavuje read/write buffer na 8K, ale optimalni parametry fakt nevim, tohle je z manualu...
Já mám u tlustýho klienta rsize i wsize nastavený na 1024, při 8k i 4k se to kousalo. Je to voodoo...
21 promarněných znaků
21.4.2005 16:28 jazz
Rozbalit Rozbalit vše Re: co kdyz padne root?
Problem s bezpecnosti lze vyresit s pouzitim kombinace PAM+LDAP+Kerberos (misto NIS) a NFSv4 opet s podporou Kerberos (jadra 2.6.x, Solaris 8+). Stanice jsou pote "identifikovany" pres KRB na zaklade ticket-granting ticketu u Master Key Distribution Center (M/KDC). Pokud se tedy pokusi pripojit nejake PC, ktere neni vedeno v M/KDC (neni vytvorena prislusna identita - principal), nebudou poskytnuty ani sluzby LDAP, NFS. Pokud ale nekdo ziska lokalniho roota, muze samozrejme za pouziti napr. "su - uzivatel" zkompromitovat uzivatelova data. Vse je tedy v rukou administratora ;)

BTW, co se tyka NFS over TCP, nekdy je nutno pri "vytuhnuti" NFS serveru, a opetovnem zprovozneni, rucne odmountovat a primountovat NFS svazek (umount -fl ...). Pri pouziti autofs staci pouze umount.
22.4.2005 21:11 vs
Rozbalit Rozbalit vše Re: co kdyz padne root?
Jestli to není jen teoretické řešení, napíšete o tom článek? Zkoušel jsem LDAP a fungoval (i když nějak podivně, myslíš že SSL nešlo), s Kerberem jsem to rozchodil jen pokusně a po několika týdnech. Jak se můžou windows (v heterogenní síti) logovat přes Kerberos nevím, podle dokumentace to asi nejde (aspoň ne stylem windows -> samba -> kerberos, win98 rozhodně ketrberos nativně neuměj, NT taky ne). Zkrátka je to sice možná bezpečné, ale nakonfigurovat se to nedá buď vůbec nebo dá hodně špatně. Jestli je NFSv4 tak složité na konfiguraci a integraci s Kerberem jako AFS, tak do toho rozhodně nejdu.
25.4.2005 15:14 jazz
Rozbalit Rozbalit vše Re: co kdyz padne root? **NFS+NIS ve Win
Pokud Vas zajima implementace KRB(v5) ve Windows + spoluprace s Unixem, doporucuji precist clanek Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability. Podpora KRB ve Windows je od verze W2K+ (pro spolupraci s dalsim systemem je potreba SDK). Jako filesystem bych ale NFS ve Win nepouzival, jelikoz to nativne nelze (pouze mozna s Windows Services for UNIX). Misto toho radeji Sambu, ktera s LDAP nema problemy a umi i KRB.

Na clanek bych asi nemel nervy (nebo spis na komentare ;-)) a hlavne cas (musel bych si vse peclive odzkouset).
25.4.2005 16:39 Michal Kubeček
Rozbalit Rozbalit vše Re: co kdyz padne root? **NFS+NIS ve Win
Problém vidím v tom, že Samba je proti NFS zoufale neefektivní.
23.4.2005 15:04 Michal Kubeček
Rozbalit Rozbalit vše Re: co kdyz padne root?
Když padne root, padne všechno (tedy aspoň v klasickém bezpečnostním modelu, nemáme-li SELinux/LIDS/…). NFS primárně předpokládá, že jednotlivé stanice jsou pod společnou správou a mají společnou databázi uživatelů. Padne-li tedy root na jedné, padl na všech. To, že pak lze zneužít konkrétně NFS, je v takové situaci už jen zanedbatelný detail.
25.4.2005 12:23 Myspulin
Rozbalit Rozbalit vše Re: co kdyz padne root?
Root do spolecne databaze uzivatelu nebyva zarazovan. Kazda klientska stanice miva vlastni heslo roota, ktere se bere z /etc/shadow. Kdyz padne root na jednom klientovi, pozici roota na ostatnich to neovlivni.
25.4.2005 14:35 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: co kdyz padne root?
Zdravim

Skutecne je to tak, pouzivam tento system presne tak jak je psano v clanku a rootovsky heslo na klientovi mam stale puvodni. Nicmene porad plati ze i jako lokalni root ziskam pristup do vsech exportovanych slozek, i kdyz maj prava 700.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
25.4.2005 16:42 Michal Kubeček
Rozbalit Rozbalit vše Re: co kdyz padne root?
Jen částečně. Jak už tu několikrát zaznělo, pořád zbývá možnost vydávat se za kteréhokoli jiného uživatele (na kterékoli stanici). Tedy i za normální uživatelský účet toho, kdo systém spravuje. A tím se otevírá prostor ke zjištění hesla roota.
21.4.2005 22:50 tk
Rozbalit Rozbalit vše konecne...
konecne zas, po delsi dobe, jeden konstruktivni clanek, diky.
22.4.2005 11:56 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Češtinářský koutek
Co je NFS, snad není potřeba

požadavek, např. "vylistuj ./", a server mu odpoví

mechanismy (vyjma squashování UID/GID), jako je jméno a heslo

snaží přistoupit user s UID 100, tak na NFS serveru
22.4.2005 12:00 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Češtinářský koutek
:-) OK (chci říct... Budiž).
22.4.2005 16:09 javes | skóre: 8 | Ostrava Poruba
Rozbalit Rozbalit vše Co mám použít jako síťový FS?
Zdravím,

potřeboval bych síťově nasdílet /home.

Problém je v tom, že by to mělo jet (klient) jak pod Linuxem, tak pod Windowsem. Mělo by to podporovat práva. Identifikaci jménem/heslem (nebo třeba kerberem). Plus by byl šifrovaný kananál pro data. A aby to nebylo vázáno na adresy (chtěl bych se připojovat z domu, ze školy, z kavárny, prostě odkudkoli).

Díval jsem se na OpenAFS, ale bohužel mám jádro 2.6, což jaksi nezkousl.

Díval jsem se ještě na Intermeezo, ale ten se mi nějak nezamlouval (nebo jsem ho špatně pochopil :().

Díky za jakoukoli radu.
22.4.2005 22:25 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Co mám použít jako síťový FS?
Co třeba OpenVPN tunel a pak si ty data nasdílet čímkoliv, třeba sambou?
-- Nezdar není hanbou, hanbou je strach z pokusu.
23.4.2005 11:22 javes | skóre: 8 | Ostrava Poruba
Rozbalit Rozbalit vše Re: Co mám použít jako síťový FS?
Taky možnost.

Teď by mně jen zajímalo, jak je to s podporou Linux[samba]Linux.

Servřík je totiž na Linuxu (překvapivě ;)), a já mam stanici na Linuxu ;). Jsem k serveru připojenej 100Mbit (UTP). Jak je to s rychlostí, a stabilitou SAMBY?

A jak je to se sambou s právy? Podporuje standardní UNIXovská práva?

Díky moc.
22.4.2005 17:15 MartinT | skóre: 12 | blog: MT blog
Rozbalit Rozbalit vše export $HOME a jeho pripojovani z ruznych Lx systemu - vase zkusenosti
Jde mi o nasledujici situaci, hlavni server s NFS a export /home, vice stanic v rezimu "tlusty klient" s ruznymi Linux distribucemi (mdk10.0, Aurox10.0, FC3 ...) a obcasnou potrebou se prihlasit jako jeden user z ruznych pocitacu (nemyslim soucasne, ale treba chvilku tady, pote jinde ...). Zajima me dopad na konfiguracni soubory jednotlivych programu, predevsim desktop systemu (KDE, GNOME ...).

Z nevedomosti/hlouposti jsem to jednou udelal. Defaultne pracuji na mdk10.0 s KDE a prihlasil jsem se v Aurox10.0 s KDE (rozdil verzi KDE minimalni, nejaka treti cislice) a litoval jsem. Po navratu k mdk10.0 stroji docela rozhozene KDE a totalne pokazena cestina (asi problem kodovani iso/UTF). Neprisel jsem na nic chytrejsiho nez usera smazat a znovu vytvorit.

Zajimaly by mne vase zkusenosti, pripadne jak takovou potrebu resite vy? Me napadlo jen:
a) pohrat si shell init skripty na serveru a pro novy stroj presouvat/prejmenovavat konfiguracni soubory a adresare -- desna pakarna, casem se na neco stejne zapomene
b) exportovat jen /home/user/Data, tam taky ukladat vse co se tyce dokumentu/prace a konfiguracni soubory mit na vsech strojich nativni a delat maximalne symlibky z $HOME na $HOME/Data/Prace etc.
24.4.2005 12:39 Ondrej Zajicek
Rozbalit Rozbalit vše Re: export $HOME a jeho pripojovani z ruznych Lx systemu - vase zkusen
Zkusenosti s tim mam velice spatne - pokud jsou tam ruzne verze klientskych programum, tak casto jim vadi, ze maji konfiguracni soubory jine (novejsi) verze.
4.5.2005 14:39 Beda
Rozbalit Rozbalit vše Re: export $HOME a jeho pripojovani z ruznych Lx systemu - vase zkusen
pr. mozilla (browser, 1.0, 1.6.x, 1.7.x), firefox 1.x a na problem je zadelano. jedina rozumna moznost je pred kazdou zmenou verze mazat profil.

Dalsi zajimavy artefakty delaji aplikace co si neinicializuji data pred pouzitim a spolehaji na nejakou vlastnost pridruzene knihovny. Treba pri tunelovani X aplikace. spoustena aplikace na woodym(backportovy firefox) zobrazovana na Xkach na nejakym starickym mandraku. segfaultne to protoze nektery graficky prvky se nevykresli jak maji. proste neco je jak kdyby neinicializovany a ve woodym se to vykresli barvou pozadi kdezto mandrake proste nicim a firefox to pak neustoji.
24.4.2005 21:07 O. Rusek
Rozbalit Rozbalit vše parametry u klienta
U klienta si lze pohrát s celou řadou parametrů. Vedle standardního "defaults" mohou mít zásadní vliv na rychlost spojení, nicméně nelze dát žádný obecný návod - musíte prohledat diskuze a zkoušet. How-to doporučuje parametry "hard,intr".

No, já tu ve škole mám fileserver, který exportuje /home pro LSTP klienty (přes LTSP server) via NFS a ještě je nabízí win klientům via smb. K těm parametrům u klienta - doporučuji radši 'soft' než 'hard'. Konkrétně LTSP server ma v /etc/fstab toto:
edunix:/home /home nfs rw,bg,intr,soft,wsize=8192,rsize=8192
Vše jede na 100 mbps - propustnost ok.
22.10.2007 14:11 siboch
Rozbalit Rozbalit vše NFS - definice rozsahu IP adres
Dobrý den,

zajímalo by mne, zda lze njk. způsobem specifikovat rozsah IP adres, abych nemusel vypisovat (a v budoucnu třeba přepisovat) všechny adresy. Např: /home/somebody 192.168.1.2-192.168.1.20/255.255.255.255 (rw,all_squash,anonuid=502,anongid=100,sync)

Pátral jsem po téhle možnosti, ale nikde jsem nenašel jak na to. Uvedený zápis nefunguje.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.