NFSv4

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-01-23 1:08:29

Дошли таки руки более плотно посмотреть на NFSv4.
Kак всегда, документация оставляет желать...

Вот вопрос. -
есть у меня две ZFS FS - ну, для примера /zpool/zfs1 и /zpool/zfs2. И надо мне одну расшарить для машины host1, а другую для машины host2.

В случае NFSv3 все ясно, в /etc/exports пишем -
/zpool/zfs1 host1
/zpool/zfs2 host2
A что если я хочу NFSv4 ?
Сделал так -

Код: Выделить всё

V4: /		-sec=krb5
/zpool/zfs1 host1
/zpool/zfs2 host2
Все вроде работает... всё прекрасно. Но, блин, оно и по NFSv3 тоже доступно. А как мне сделать, чтоб оно только NFSv4 позволяло?

Я потом может еще вопросов позадаю, если сам не разберусь. Но начнем с простого...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

NFSv4

Непрочитанное сообщение Alex Keda » 2018-01-23 15:05:04

доступно - корень, в смысле?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-01-23 15:21:39

Код: Выделить всё

sysctl vfs.nfsd.server_min_nfsvers=4
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-01-26 1:28:17

Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.

guest
проходил мимо

NFSv4

Непрочитанное сообщение guest » 2018-01-26 16:51:26

FiL писал(а):Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.
если память не изменяет, никак, либо опции монтирования у клиента, либо
закрыть firewall'ом порты nfsv3 для соответствующих ip.

Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-01-26 16:54:00

FiL писал(а):Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.
А что мешает тогда на клиента монтировать с опцией nfs4? Ну и пусть себе сервер доступен по 3 и 4 одновременно. В чём глубокий смысл явного запрета nfs3?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-01-26 21:16:41

в том, что если разрешить nfs3, то таки некоторые клиенты этим воспользуются (а у них есть рут на своих машинах). А по nfs3 они мне могут сервер положить нагрузкой. А nfs4 вроде лучше держится. Ну и секьюрити у nfs3 несколько отсутствует, если клиент имеет рута. А закрыть фаерволом не могу, ибо одна шара должна всем раздаваться. по нфс3. всем. read-only. потому не жалко.

Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-02-01 18:12:16

В целом отличия от NFS3 - скорость + ACL'ы. Секьюрность везде одинаковая: имеешь рута, грохнешь всё.
FiL писал(а): А как мне сделать, чтоб оно только NFSv4 позволяло?
Тогда противоречишь сам себе...
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-01 19:10:57

чего это рут на клиенте мне всё грохнет на сервере? Кто-ж ему даст?

Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-02-01 19:16:00

FiL писал(а):Ну и секьюрити у nfs3 несколько отсутствует, если клиент имеет рута
какой-то рассинхрон пошёл у вас
FiL писал(а):чего это рут на клиенте мне всё грохнет на сервере? Кто-ж ему даст?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-01 19:21:46

дык потому и хочу nfsv4, что там рут на клиенте не дает ему лишних прав.

Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-02-01 19:48:08

А разве NFS3 это позволит сделать? Я нигде не нашёл такой инфы, что на 3-ей версии можно смело всё грохать, а на 4-ой нельзя с теми же правами. Дайте линк на авторитетный источник.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-01 23:20:57


Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-02-05 17:13:34

Что-то я не нашёл то, о чём вы говорите. Можете привести цитатой из текста?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

FiL
ст. лейтенант
Сообщения: 1363
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-05 19:18:28

Прямо в самом начале -
Traditional NFS contains essentially no security features. NFS assumes that the physical network is secure, and all machines on it are uncompromised. If an attacker has root access to any machine on the network, he can read or write to any location on the NFS file system. To allow NFS to be used on insecure networks, version 4 of that protocol added optional security extensions using Kerberos.

Аватара пользователя
skeletor
майор
Сообщения: 2436
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

NFSv4

Непрочитанное сообщение skeletor » 2018-02-06 17:53:20

И что такое "Traditional NFS"? Неясно про какую версию они говорят.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
f_andrey
майор
Сообщения: 2644
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

NFSv4

Непрочитанное сообщение f_andrey » 2018-02-06 18:54:08

3-я, но там и в 4-й то все эти секьюрите так не ахти глобально, но херни добавили что в общем то и притормозило, ну вместе с крахом солнышка
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308