Страница 1 из 1

NFSv4

Добавлено: 2018-01-23 1:08:29
FiL
Дошли таки руки более плотно посмотреть на NFSv4.
Kак всегда, документация оставляет желать...

Вот вопрос. -
есть у меня две ZFS FS - ну, для примера /zpool/zfs1 и /zpool/zfs2. И надо мне одну расшарить для машины host1, а другую для машины host2.

В случае NFSv3 все ясно, в /etc/exports пишем -
/zpool/zfs1 host1
/zpool/zfs2 host2
A что если я хочу NFSv4 ?
Сделал так -

Код: Выделить всё

V4: /		-sec=krb5
/zpool/zfs1 host1
/zpool/zfs2 host2
Все вроде работает... всё прекрасно. Но, блин, оно и по NFSv3 тоже доступно. А как мне сделать, чтоб оно только NFSv4 позволяло?

Я потом может еще вопросов позадаю, если сам не разберусь. Но начнем с простого...

NFSv4

Добавлено: 2018-01-23 15:05:04
Alex Keda
доступно - корень, в смысле?

NFSv4

Добавлено: 2018-01-23 15:21:39
skeletor

Код: Выделить всё

sysctl vfs.nfsd.server_min_nfsvers=4

NFSv4

Добавлено: 2018-01-26 1:28:17
FiL
Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.

NFSv4

Добавлено: 2018-01-26 16:51:26
guest
FiL писал(а):Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.
если память не изменяет, никак, либо опции монтирования у клиента, либо
закрыть firewall'ом порты nfsv3 для соответствующих ip.

NFSv4

Добавлено: 2018-01-26 16:54:00
skeletor
FiL писал(а):Alex Keda, нет, не корень. Но /zpool/zfs1 таки доступен. А мне не надо.

skeletor, это хорошо, но это для всего сервера будет. А у меня одна шара таки должна экспортироваться по NFSv3. A остальные - со временем хочу перевести на v4 only.
А что мешает тогда на клиента монтировать с опцией nfs4? Ну и пусть себе сервер доступен по 3 и 4 одновременно. В чём глубокий смысл явного запрета nfs3?

NFSv4

Добавлено: 2018-01-26 21:16:41
FiL
в том, что если разрешить nfs3, то таки некоторые клиенты этим воспользуются (а у них есть рут на своих машинах). А по nfs3 они мне могут сервер положить нагрузкой. А nfs4 вроде лучше держится. Ну и секьюрити у nfs3 несколько отсутствует, если клиент имеет рута. А закрыть фаерволом не могу, ибо одна шара должна всем раздаваться. по нфс3. всем. read-only. потому не жалко.

NFSv4

Добавлено: 2018-02-01 18:12:16
skeletor
В целом отличия от NFS3 - скорость + ACL'ы. Секьюрность везде одинаковая: имеешь рута, грохнешь всё.
FiL писал(а): А как мне сделать, чтоб оно только NFSv4 позволяло?
Тогда противоречишь сам себе...

NFSv4

Добавлено: 2018-02-01 19:10:57
FiL
чего это рут на клиенте мне всё грохнет на сервере? Кто-ж ему даст?

NFSv4

Добавлено: 2018-02-01 19:16:00
skeletor
FiL писал(а):Ну и секьюрити у nfs3 несколько отсутствует, если клиент имеет рута
какой-то рассинхрон пошёл у вас
FiL писал(а):чего это рут на клиенте мне всё грохнет на сервере? Кто-ж ему даст?

NFSv4

Добавлено: 2018-02-01 19:21:46
FiL
дык потому и хочу nfsv4, что там рут на клиенте не дает ему лишних прав.

NFSv4

Добавлено: 2018-02-01 19:48:08
skeletor
А разве NFS3 это позволит сделать? Я нигде не нашёл такой инфы, что на 3-ей версии можно смело всё грохать, а на 4-ой нельзя с теми же правами. Дайте линк на авторитетный источник.

NFSv4

Добавлено: 2018-02-01 23:20:57
FiL

NFSv4

Добавлено: 2018-02-05 17:13:34
skeletor
Что-то я не нашёл то, о чём вы говорите. Можете привести цитатой из текста?

NFSv4

Добавлено: 2018-02-05 19:18:28
FiL
Прямо в самом начале -
Traditional NFS contains essentially no security features. NFS assumes that the physical network is secure, and all machines on it are uncompromised. If an attacker has root access to any machine on the network, he can read or write to any location on the NFS file system. To allow NFS to be used on insecure networks, version 4 of that protocol added optional security extensions using Kerberos.

NFSv4

Добавлено: 2018-02-06 17:53:20
skeletor
И что такое "Traditional NFS"? Неясно про какую версию они говорят.

NFSv4

Добавлено: 2018-02-06 18:54:08
f_andrey
3-я, но там и в 4-й то все эти секьюрите так не ахти глобально, но херни добавили что в общем то и притормозило, ну вместе с крахом солнышка