Gigabit - NFS nebo neco jineho?
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Pátek Květen 21 09:05:12 CEST 2004
On Thu, 20 May 2004, Jakub Jirků wrote:
> Ale ftp nepouziva portmapper, lock demona a dalsi veci. Ale asi to
> vyzkousim a uvidime :)
NFS se bez nich prekvapive take dokaze obejit, kdyz na to prijde.
Absence lock daemona rozbije zamykani, ale to tolik nevadi, protoze to
v NFS nikdy poradne nefungovalo <g>, a portmapper lze obejit, kdyz se na
klientovi explicitne zadaji porty pro mountd a nfsd (a dokonce se lze
v modu "WebNFS" obejit i bez toho mountd).
On Thu, 20 May 2004, Jakub Jirků wrote:
> Mno do ftp se loguji jmenem a heslem a kdyz se jednou pripojim, nemohu
> si zvysit prava. Do nfs se ,,loguji`` (ono do bezstavoveho protokolu
> se loguje dost spatne) adresou stroje ze ktereho pristupuji a jmenem
> uzivatele a pomoci su si muzu (jsem li root na klientovi) menit prava
> na jakehokoli uzivatele.
Kazdy pozadavek v NFS (presneji v (Sun)RPC, nad kterym je NFS postavene),
nese autentizacni informace.
Nejjednodussi, nejcasteji pouzivana a bohuzel take naprosto nejmene
bezpecna moznost je "unix autentication", kdyz klient posila svuj uid a
gid (nikoli jmeno). Server to obvykle kombinuje s testem, zda klient
pouziva privilegovany port (cili ze lze predpoklada, ze pakety na
klientovi vyrabi jadro nebo duveryhodny proces pod rootem) a volitelne s
IP adresou klienta. Bylo to zamysleno pro nasazeni do situace, kdy je
nekolik pocitacu pozivajicich vzajemne plne duvery v duveryhodne siti.
Existuji i autentizace pomoci DESu nebo Kerbera, ale to uz je slozitejsi
zprovoznit. NFS4 je pak integrovano s GSS.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux