[ Pobierz całość w formacie PDF ]
.Poznamy te¿ ró¿ne parametry, które kontroluj¹ dostêp klientów dosystemu plików.Serwer okreSla typ dostêpu do jego plików.W pliku /etc/exportsznajduje siê lista systemów plików, które serwer udostêpnia klientom do montowa-nia i u¿ytku.DomySlnie rpc.mountd nie pozwala na montowanie wszystkich katalogów, co jest ra-czej rozs¹dnym podejSciem.JeSli chcesz pozwoliæ jednemu lub kilku hostom namontowanie katalogu przez NFS, musisz wyeksportowaæ host, to znaczy wpisaæ go dopliku exports.Przyk³adowy plik mo¿e wygl¹daæ tak:# plik exports dla hosta vlager/home vale(rw) vstout(rw) vlight(rw)/usr/X11R6 vale(ro) vstout(ro) vlight(ro)/usr/TeX vale(ro) vstout(ro) vlight(ro)/ vale(rw,no_root_squash)/home/ftp (ro)Ka¿dy wiersz definiuje katalog i hosty, które mog¹ go montowaæ.Nazwa hosta jestzwykle podawana w postaci pe³nej nazwy domenowej, ale mo¿e dodatkowo za-wieraæ znaki uniwersalne * i ?, które dzia³aj¹ w sposób analogiczny do pow³okiBourne'a.Na przyk³ad dolab*.foo.compasuje zarówno lab01.foo.com, jak i la-boratory.foo.com.Host mo¿na tak¿e wskazaæ za pomoc¹ zakresu adresów IP w po-staciadres/maska_sieci.Je¿eli nazwa hosta nie zostanie podana, tak jak w przy-padku katalogu /home/ftp w poprzednim przyk³adzie, oznacza to, ¿e pasuje ka¿dyhost i ka¿dy ma prawo montowaæ katalog.Przy sprawdzaniu klienta w pliku exports, rpc.mountd szuka nazwy hosta klienta zapomoc¹ wywo³ania gethostbyaddr.Je¿eli u¿ywany jest DNS, to wywo³anie zwracakanoniczn¹ nazwê hosta klienta, a wiêc musisz pamiêtaæ, by nie u¿ywaæ aliasówPlik exports 249w pliku exports.W Srodowisku NIS zwracan¹ nazw¹ jest pierwsza pasuj¹ca nazwaz bazy danych hostów.Nigdy ani w przypadku u¿ycia DNS-a, ani NIS-a zwraca-na nazwa nie jest pierwsz¹ nazw¹ hosta, pasuj¹c¹ do adresu klienta i znalezion¹w pliku hosts.Za nazw¹ hosta nastêpuje opcjonalna lista znaczników ujêtych w nawiasy; poszczególneelementy listy s¹ oddzielone przecinkami.Niektóre wartoSci tych znaczników to:secureTen znacznik powoduje, ¿e ¿¹danie musi pochodziæ z zarezerwowanego portuxród³owego, tzn.o wartoSci mniejszej ni¿ 1024.Znacznik ten jest ustawiony do-mySlnie.insecureTen znacznik dzia³a odwrotnie ni¿ znacznik secure.roTen znacznik powoduje, ¿e wolumen NFS jest montowany jako przeznaczonytylko do odczytu.Znacznik jest ustawiony domySlnie.rwTa opcja montuje pliki do odczytu i zapisu.root_squashTa funkcja, zwi¹zana z bezpieczeñstwem, odmawia u¿ytkownikom uprzywile-jowanym na zadanych hostach specjalnych praw dostêpu przez odwzorowanie¿¹dañ z uid 0 po stronie klienta na uid 65534 (tzn. 2) po stronie serwera.Ta war-toSæ uid powinna byæ zwi¹zana z u¿ytkownikiem nobody.no_root_squashNie odwzorowuje ¿¹dañ z uid 0.Ta opcja jest ustawiona domySlnie, a wiêc u¿yt-kownicy uprzywilejowani maj¹ nieograniczony dostêp do wyeksportowanych ka-talogów systemu.link_relativeTa opcja zamienia bezwzglêdne dowi¹zania symboliczne (gdzie dowi¹zania roz-poczynaj¹ siê od ukoSnika) na dowi¹zania wzglêdne.Ta opcja ma sens tylko wte-dy, gdy zamontowany jest ca³y system plików hosta.W przeciwnym razie ni-ektóre dowi¹zania mog¹ wskazywaæ donik¹d lub co gorsza, na pliki, którychnigdy nie mia³y wskazywaæ.Ta opcja jest domySlnie w³¹czona.link_absoluteTa opcja pozostawia dowi¹zania symboliczne bez zmian (normalne zachowanieserwerów NFS firmy Sun).map_identityTa opcja mówi serwerowi, by zak³ada³, ¿e klient u¿ywa tych samych wartoSci uidi gid co serwer.Ta opcja jest ustawiona domySlnie.map_daemonTa opcja mówi serwerowi NFS, by zak³ada³, ¿e klient i serwer nie wspó³dziel¹ tejsamej przestrzeni uid/gid.Dlatego rpc.nfsd tworzy listê, która odwzorowuje ID250 Rozdzia³ 14: Sieciowy system plikówpomiêdzy klientem a serwerem, zadaj¹c zapytania demonowi rpc.ugidd na ma-szynie klienta.map_staticTa opcja pozwala na podanie nazwy pliku, który zawiera statyczne odwzorowa-nie wartoSci uid i gid.Na przyk³admap_static=/etc/nfs/vlight.mapwskazywa³by plik /etc/nfs/vlight.map jako plik zawieraj¹cy odwzorowaniauid/gid.Sk³adnia pliku odwzorowañ jest opisana na stronie podrêcznika elektro-nicznego exports(5).maps_nisTa opcja powoduje, ¿e serwer NIS-a realizuje odwzorowania uid i gid.anonuid i anongidTe opcje pozwalaj¹ na okreSlenie uid i gid kont anonimowych.Jest to przydatne,je¿eli masz publicznie wyeksportowany wolumen.Wszelkie b³êdy przy analizie sk³adniowej pliku exports s¹ zg³aszane do funkcjidaemonsysloga na poziomienotice, o ile s¹ uruchomione demony rpc.nfsd i rpc.mo-untd.Zauwa¿, ¿e nazwy hostów s¹ uzyskiwane na podstawie adresów IP klienta przezodwzorowanie odwrotne, a wiêc resolver musi byæ odpowiednio skonfigurowany.Je¿eli u¿ywasz BIND i jesteS Swiadomy problemów zwi¹zanych z bezpieczeñst-wem, powinieneS w³¹czyæ w swoim pliku host.conf sprawdzanie podszywania siê.Te tematy omawiamy w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.Serwer NFSv2 oparty na j¹drzeTradycyjnie u¿ywany w Linuksie serwer NFS dzia³aj¹cy w przestrzeni u¿ytkownikajest niezawodny, ale sprawia problemy wydajnoSciowe, je¿eli jest przeci¹¿ony.Dzieje siê tak g³Ã³wnie ze wzglêdu na obci¹¿enie wnoszone przez interfejs wywo³añsystemowych, ale te¿ dlatego, ¿e musi on dzieliæ czas z innymi, potencjalnie mniejistotnymi procesami dzia³aj¹cymi w przestrzeni u¿ytkownika.J¹dro 2.2.0 obs³uguje ekperymentalny serwer NFS oparty na j¹drze, stworzonyprzez Olafa Kircha i dalej rozwijany przez H.J.Lu, G.Allana Morrisa i Tronda My-klebusta.Serwer NFS oparty na j¹drze daje zdecydowan¹ poprawê wydajnoSci.W obecnych dystrybucjach mo¿esz znalexæ narzêdzia serwera w postaci pakietów.Je-¿eli ich tam nie ma, mo¿esz je znalexæ pod adresem http://csua.berkeley.edu/~gam3/knfsd/.Aby u¿ywaæ tych narzêdzi, musisz skompilowaæ j¹dro 2.2.0 z demonem NFS opartymna j¹drze.Mo¿esz upewniæ siê, czy twoje j¹dro ma wbudowanego demona NFS, spraw-dzaj¹c, czy istnieje plik /proc/sys/sunrpc/nfsd_debug.Je¿eli go nie ma, mo¿esz za³adowaæmodu³ rpc.nfsd, u¿ywaj¹c narzêdzia modprobe.Demon NFS oparty na j¹drze wykorzystuje standardowy plik konfiguracyjny/etc/exports.Pakiet zawiera zastêpcze wersje demonów rpc.mountd i rpc.nfsd, które uru-chamiasz prawie tak samo, jak ich odpowiedniki dzia³aj¹ce w przestrzeni u¿ytkowni-ka.Server NFSv3 oparty na j¹drze 251Server NFSv3 oparty na j¹drzePowszechnie u¿ywan¹ wersj¹ NFS-a jest wersja 2
[ Pobierz całość w formacie PDF ]