NFS + bezpecnost + mount stromu

Dan Ohnesorg dan na feld.cvut.cz
Středa Říjen 24 09:59:31 CEST 2001


On Wed, 24 Oct 2001, Lukas Fiala wrote:

> O co presne jde? Export je normalne rekurzivni. Pokud nasdilite adresar, tak
> tim zaroven sdilite i jeho podaresare. Pouze pokud je do nejakeho
> podadresare primountovam filesystem z jineho zarizeni, tak ho nfs neuvidi.
> To je ale v poradku ne?

Tusim se da dokonce povolit reexport pri startu nfsd a mountd.

> > co se treba nastavit pro ipchains?
> Vim ze jsem to zkousel. Jedna se o 3-4 porty v udp protokolu. Uz jsi bohuzel
> nepamatuju jake. Urcite 2049.

Pokud uvazujete o bezpecnosti, tak nikdy nepouzivejte nfs. Abyste ho mohl
pouzivat, musite povolit portmap. Ten je jednak casto deravy a jednak je v
nem nejaka systemova vada, ted si presne nevybavuju jaka, ale bylo to neco
s podvrzenim nebo nezadouci zmenou portu. Mozna nekdo bude vedet presneji.
Ja u nej mam rozhodne cerveny vykricnik. Vsechny UDP veci jsou navic velmi
problematicke z hlediska fitrace na firewallu.

zdravim
dan


-- 
                    ________________________________________
DDDDDD
DD   DD                Dan Ohnesorg, supervisor on POWER
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________

Reklama:
 Jeden dolar, ktery vynalozite na vymyti mozku kupujicich se vrati
 efektivneji nez dolar, ktery utratite za zlepseni vyrobku.



Další informace o konferenci Linux