Toon posts:

[ubuntu11] verbinden met beveiligde NFS-directory

Pagina: 1
Acties:

donderdag 1 december 2011 15:20

Acties:
  • 0 Henk 'm!
  • _Thanatos_
  • Registratie: Januari 2001
  • Laatst online: 05-09 14:39

_Thanatos_

Ja, en kaal

Topicstarter
Ik heb een NAS draaien die een NFS-daemon heeft. Die werkt prima, maar alleen voor directories die anoniem toeganklijk zijn. Ik heb ook een directory die alleen voor selecte users toegankelijk is. Laten we een zo'n gebruiker "john" noemen.

Vervolgens heb ik een server met Ubuntu 11.10, en daarop wil ik een verbinding met die NFS-directories op de NAS maken. Ook dat werkt prima. Het rare (of voor mij onbegrijpbare eigenlijk) is dat die anonieme directory dus goed benaderbaar is, maar die afgeschermde niet. Het lijkt logisch: die directory is immers afgeschermd, maar laat het nou zo zijn dat ik op de server ook als "john" ben ingelogd, met nota bene hetzelfde wachtwoord.

Dus hoe ga ik de NFS client nou zover krijgen dat ie verbindt als "john" of iig als de ingelogde gebruiker?

日本!🎌

donderdag 1 december 2011 15:43

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 02-10 22:42

CAPSLOCK2000

zie teletekst pagina 888

Is het UID van beide gebruikers hetzelfde?

This post is warranted for the full amount you paid me for it.

donderdag 1 december 2011 15:53

Acties:
  • 0 Henk 'm!
  • _Thanatos_
  • Registratie: Januari 2001
  • Laatst online: 05-09 14:39

_Thanatos_

Ja, en kaal

Topicstarter
Nee, het zijn immers systemen die los van elkaar bestaan. Ze hebben niet eenzelfde set gebruikers (is ook niet nodig).

日本!🎌

donderdag 1 december 2011 16:21

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 09:53

Kees

Serveradmin / BOFH / DoC
Welke output geeft 'ls -l' van de afgeschermde directory? (zeg maar het eerste nivo waar je geen access denied krijgt).

En als userid's niet overeenkomen, hoe moet nfs dan weten dat het gelijke users zijn?

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 1 december 2011 18:50

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 02-10 22:42

CAPSLOCK2000

zie teletekst pagina 888

NFS gaat er van uit dat alle systemen dezelfe UIDs gebruiken. Als dat niet zo is moet je eens kijk naar id-mapping. Mijn persoonlijk ervaring is dat het makkelijker is om er voor te zorgen dat de UID's (van NFS-gebruikers) overal hetzelfde zijn, zoveel heb ik er niet.

This post is warranted for the full amount you paid me for it.

vrijdag 2 december 2011 10:00

Acties:
  • 0 Henk 'm!
  • _Thanatos_
  • Registratie: Januari 2001
  • Laatst online: 05-09 14:39

_Thanatos_

Ja, en kaal

Topicstarter
Welke output geeft 'ls -l' van de afgeschermde directory?
drwxrwxrwx+ 6 99 crontab 4096 2011-09-25 18:58 dir_die_werkt
drwxrwx---+ 4 99 crontab 4096 2011-11-17 00:49 dir_die_niet_werkt

Blijkbaar is het crontab die de mount gedaan heeft. Op zich logisch, want ik heb em in fstab gezet. Maarja, niet echt relevant, want een manual mount wordt weer door root gedaan.
En als userid's niet overeenkomen, hoe moet nfs dan weten dat het gelijke users zijn?
De username? Het lijkt me een onredelijke eis om UIDs gelijk te houden. Hoewel je daar wel controle over hebt (mits je root-toegang tot de server kan krijgen) kun je met conflicten komen te zitten, en erger nog: je maakt een user aan die "per ongeluk" rechten heeft op een al gemounte NFS, omdat op de doelcomputer de nieuwe UID toevallig al bestaat en rechten heeft.

Beetje jammer dus, maar er is vast een reden voor. Het voelt aan als ongeveer net zo gevoelig als usernames (dat is wat Windows doet). Dus... de eerstvolgende vraag moet dan zijn: hoe pas je een UID aan? :)

En welke gevolgen heeft het aanpassen van een UID als er kennelijk dingen aan gekoppeld zijn?

日本!🎌

vrijdag 2 december 2011 10:21

Acties:
  • 0 Henk 'm!
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Om het getalletje "achter" je username te wijzigingen moet je twee dingen doen:
1) Wijzing in /etc/passwd het nummertje.
2) chown alle bestanden met het oude nummertje naar het nieuwe nummertje.

Als je een van beide niet doet kan je niet meer bij je files.

vrijdag 2 december 2011 10:38

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 09:53

Kees

Serveradmin / BOFH / DoC
_Thanatos_ schreef op vrijdag 02 december 2011 @ 10:00:
[...]

drwxrwxrwx+ 6 99 crontab 4096 2011-09-25 18:58 dir_die_werkt
drwxrwx---+ 4 99 crontab 4096 2011-11-17 00:49 dir_die_niet_werkt

Blijkbaar is het crontab die de mount gedaan heeft. Op zich logisch, want ik heb em in fstab gezet. Maarja, niet echt relevant, want een manual mount wordt weer door root gedaan.
Nee, de mount is gewoon door root gedaan, maar het userid van de eigenaar van de directory heet op de client 'crontab' (bv userid 1000) maar op de server heet hij 'thanatos'. Als je op de server dan de directory chown'ed naar 1000:4096 (zeg maar: thanatos:users) en de client kent alleen 1000 -> crontab, dan ziet de client de dir zoals jij hier boven ziet. Tenzij jij het op de client remapped en nfsv4 gebruikt.

NFS geeft alleen de userid+groupid mee, het is aan de client om dat te vertalen (bij nfs pre-4).
De username? Het lijkt me een onredelijke eis om UIDs gelijk te houden. Hoewel je daar wel controle over hebt (mits je root-toegang tot de server kan krijgen) kun je met conflicten komen te zitten, en erger nog: je maakt een user aan die "per ongeluk" rechten heeft op een al gemounte NFS, omdat op de doelcomputer de nieuwe UID toevallig al bestaat en rechten heeft.

Beetje jammer dus, maar er is vast een reden voor. Het voelt aan als ongeveer net zo gevoelig als usernames (dat is wat Windows doet). Dus... de eerstvolgende vraag moet dan zijn: hoe pas je een UID aan? :)

En welke gevolgen heeft het aanpassen van een UID als er kennelijk dingen aan gekoppeld zijn?
Die eis is niet heel onredelijk, want je zou het gewoon kunnen doen met bv LDAP of NIS. Verder kun je met NFSv4 ook idmapping doen; zie hiervoor 'man idmapd' en 'man idmapd.conf'.

Verder heeft NFS inderdaad niet de beste security, en daar zul je mee moeten opletten.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

vrijdag 2 december 2011 13:35

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 02-10 22:42

CAPSLOCK2000

zie teletekst pagina 888

NFS is een product van de jaren 80, en dat merk je, de security-denkbeelden zijn nogal verouderd. Met NFS4 kan het beter maar dat maakt het wel veel complexer.

Als je maar een paar systemen hebt kun je maar beter even doorbijten en die gebruikers omnummeren of/en id-mappping gebruiken.

This post is warranted for the full amount you paid me for it.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq