Portál AbcLinuxu, 12. května 2025 20:47

Dotaz: NFS - prava a bezpecnost

15.5.2010 16:24 David
NFS - prava a bezpecnost
Přečteno: 544×
Odpovědět | Admin
Ahoj,

mam server debian a klienty s Ubuntu. Sit 10.0.10.0/24. Doted jsem na sdileni adresaru na serveru pouzival Sambu. Prislo mi to ale zbytecne, tak jsem zacal patrat po tom, jak nastavit NFS. Modelova situace je takova: na serveru (10.0.10.1) mam uzivatele pepa (UID 1000, /home/pepa) a franta (UID 1001, /home/franta).

/etc/exports na serveru

/home 10.0.10.0 (rw,no_root_squash,sync)

mount na klientech:

sudo mount 10.0.10.1:/home /media/nfs

na lokale maji uzivatele stejne UID jako na serveru.

Pokud si ale franta na lokale zmeni UID na 1000, uvidi serverove sdileni Pepy a to neni moc security, ne?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

15.5.2010 16:55 NN
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
Odpovědět | | Sbalit | Link | Blokovat | Admin
Normalni uzivatel si UID zmenit nemuze..

NN
15.5.2010 17:00 David
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
ano, ale normalni uzivatel si muze preinstalovat desktop a tudiz si se muze stat lokalnim rootem :-/
15.5.2010 20:55 VSi | skóre: 28
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
NFS není bezpečné ve smyslu toho, že má-li uživatel roota na klientovi, má automaticky přístup ke všem souborům (nepomůže ani volba root_squash). Nemusí mít ani root přístup, stačí možnost nabootovat live CD.

Takovou bezpečnost poskytuje až NFSv4 + Kerberos autentizace. Zprovoznit Kerberos server a nastavit klienty není úplně jednoduché, nedávno tady ale vyšel článek, kde je to pěkně popsáno. Jinou možností je použít Sambu + CIFS mount. Paradoxně se tahle Windows technologie může někdy i v čistě linux prostředí hodit více než NFS.

Stabilita NFSv4 pod linuxem je bohužel sporná, hlavně u serveru. Pokud má někdo jinou zkušenost, budu rád, když to sem napíše.
15.5.2010 22:06 David
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
Takze se rekneme ma teorie potvrdila. Mnohokrat jsem prave narazil na otazky, proc nekdo pouziva Sambu na Linux vs. Linux, kdyz muze jet na NFS. Sam pouzivam Sambu a cifs a tyto pripominky me zvyklaly k pouziti NFS..
15.5.2010 18:51 David
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
Odpovědět | | Sbalit | Link | Blokovat | Admin
A jeste ke vsemu se disk pri namountovani chova jako read-only .. proc?
15.5.2010 19:26 David
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
toto vyreseno, chyba byla v mezere,ktera tam nema byt:

/home 10.0.10.0tadynenimezera(rw,no_root_squash,sync)
18.5.2010 09:11 Jawor
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pridam se taky do debaty. NFS mam nastaveno tak, ze uzivatele na serveru maji stejna UID a GID jako na stanicich. Proto (kdyz pominu moznost zmeny UID napr. diky pravum sudo) jsem mel falesny pocit bezpeci. Jeden user v siti si totiz koupil streamovaci zarizeni Xtreamer a pri prochazeni slozek objevil i vyexportovany /home, kde ma pristup do vsech slozek vsech uzivatelu. Tzn. ze ten Xtreamer jede jakoby pod rootem?
18.5.2010 11:49 VSi | skóre: 28
Rozbalit Rozbalit vše Re: NFS - prava a bezpecnost
Nejspíš to streamovací zařízení na NFS přistupuje skutečně jako root. Dobré by bylo omezit export z NFS serveru jen na IP adresy počítačů, které máte pod kontrolou.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.