NFSv4

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-01-23 1:08:29

Дошли таки руки более плотно посмотреть на NFSv4.
Kак всегда, документация оставляет желать...

Вот вопрос. -
есть у меня две ZFS FS - ну, для примера /zpool/zfs1 и /zpool/zfs2. И надо мне одну расшарить для машины host1, а другую для машины host2.

В случае NFSv3 все ясно, в /etc/exports пишем -
/zpool/zfs1 host1
/zpool/zfs2 host2
A что если я хочу NFSv4 ?
Сделал так -

Код: Выделить всё

V4: /		-sec=krb5
/zpool/zfs1 host1
/zpool/zfs2 host2
Все вроде работает... всё прекрасно. Но, блин, оно и по NFSv3 тоже доступно. А как мне сделать, чтоб оно только NFSv4 позволяло?

Я потом может еще вопросов позадаю, если сам не разберусь. Но начнем с простого...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

NFSv4

Непрочитанное сообщение Alex Keda » 2018-01-23 15:05:04

доступно - корень, в смысле?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-01-23 15:21:39

Код: Выделить всё

sysctl vfs.nfsd.server_min_nfsvers=4

FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-01-26 1:28:17

Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.

guest
проходил мимо

NFSv4

Непрочитанное сообщение guest » 2018-01-26 16:51:26

FiL писал(а):Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.
если память не изменяет, никак, либо опции монтирования у клиента, либо
закрыть firewall'ом порты nfsv3 для соответствующих ip.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-01-26 16:54:00

FiL писал(а):Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.
А что мешает тогда на клиента монтировать с опцией nfs4? Ну и пусть себе сервер доступен по 3 и 4 одновременно. В чём глубокий смысл явного запрета nfs3?

FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-01-26 21:16:41

в том, что если разрешить nfs3, то таки некоторые клиенты этим воспользуются (а у них есть рут на своих машинах). А по nfs3 они мне могут сервер положить нагрузкой. А nfs4 вроде лучше держится. Ну и секьюрити у nfs3 несколько отсутствует, если клиент имеет рута. А закрыть фаерволом не могу, ибо одна шара должна всем раздаваться. по нфс3. всем. read-only. потому не жалко.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-02-01 18:12:16

В целом отличия от NFS3 - скорость + ACL'ы. Секьюрность везде одинаковая: имеешь рута, грохнешь всё.
FiL писал(а): А как мне сделать, чтоб оно только NFSv4 позволяло?
Тогда противоречишь сам себе...

FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-01 19:10:57

чего это рут на клиенте мне всё грохнет на сервере? Кто-ж ему даст?

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-02-01 19:16:00

FiL писал(а):Ну и секьюрити у nfs3 несколько отсутствует, если клиент имеет рута
какой-то рассинхрон пошёл у вас
FiL писал(а):чего это рут на клиенте мне всё грохнет на сервере? Кто-ж ему даст?

FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-01 19:21:46

дык потому и хочу nfsv4, что там рут на клиенте не дает ему лишних прав.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-02-01 19:48:08

А разве NFS3 это позволит сделать? Я нигде не нашёл такой инфы, что на 3-ей версии можно смело всё грохать, а на 4-ой нельзя с теми же правами. Дайте линк на авторитетный источник.

FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-01 23:20:57


Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-02-05 17:13:34

Что-то я не нашёл то, о чём вы говорите. Можете привести цитатой из текста?

FiL
ст. лейтенант
Сообщения: 1374
Зарегистрирован: 2010-02-05 0:21:40

NFSv4

Непрочитанное сообщение FiL » 2018-02-05 19:18:28

Прямо в самом начале -
Traditional NFS contains essentially no security features. NFS assumes that the physical network is secure, and all machines on it are uncompromised. If an attacker has root access to any machine on the network, he can read or write to any location on the NFS file system. To allow NFS to be used on insecure networks, version 4 of that protocol added optional security extensions using Kerberos.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

NFSv4

Непрочитанное сообщение skeletor » 2018-02-06 17:53:20

И что такое "Traditional NFS"? Неясно про какую версию они говорят.

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

NFSv4

Непрочитанное сообщение f_andrey » 2018-02-06 18:54:08

3-я, но там и в 4-й то все эти секьюрите так не ахти глобально, но херни добавили что в общем то и притормозило, ну вместе с крахом солнышка
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308