On Mon, 21 Jun 2004 12:30:54 +0200
Didier MISSON wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Didier MISSON a �crit :
>
> |
> | Didier> mais le PC SERVEUR, il n'est pas tj � l'�coute sur le MEME
> | num�ro de port pour NFS ?
>
> Non, pas du tout. C'est le cas pour tous les services RCP tels que
> NFS, c'est un autre daemon qui d�cide de leur allouer al�atoirement un
> port de communication.
> (Dites les gens de la liste, si je dis une connerie, rattrapez-moi
> avant que je ne m'enfonce trop dans l'erreur heion ! :-) )
>
> Kennedy van Dam Eric
>
>
> Didier> mais...
> -1- le premier "appel", quand le PC client prend contact avec le PC
> serveur, il doit qd mm bien se faire sur un num�ro de port bien pr�cis
> !? :o)
C'est l� qu'intervient le rpc = remote procedure call qui lui va
r�pondre quelle sont les port � utiliser (d�tail NFS fonctionne
normalement en udp, mais les versions plus r�centes accepte de
travailler en tcp)
fait man rpcinfo
> -2- si le num�ro de port change totalement, comment tu configures un
> FW pour, par ex, n'autoriser une machine � ne faire QUE du NFS avec un
> serveur donn� ?
Il y a des HOWTO pour le nfs encrypt� (tunneling)
Si tu es sceptique, il te suffit de lire le NFS HOWTO qui
te l'expliquera
extrait
3.3 Le portmapper
Le portmapper de Linux est appel� soit portmap soit rpc.portmap.
La page de manuel sur mon syst�me dit que c'est un convertisseur de
port DARPA vers num�ro de programme RPC. C'est l� que se trouve la
premi�re faille de s�curit�. La gestion de ce probl�me est d�crite �
la section sur la s�curit�, que, encore une fois, je vous invite tr�s
fortement � lire.
Lancez le portmapper. Il devrait �tre dans le r�pertoire
/usr/sbin (sur quelques machines il est appel� rpcbind). Vous pouvez
le lancer � la main pour cette fois mais il devra �tre lanc� � chaque
d�marrage de la machine, il faudra donc cr�er ou �diter les scripts
rc. Les scripts rc sont d�crits dans la page de manuel init, ils
sont g�n�ralement dans /etc/rc.d, /etc/init.d ou /etc/rc.d/init.d.
S'il y a un script qui a un nom du genre inet, c'est probablement
le script � �diter. Mais ce qu'il faut �crire ou faire sort du cadre
de ce HOWTO. Lancez portmap, et v�rifiez qu'il tourne avec ps -aux,
puis rpcinfo -p. Il y est ? Benissimo.
Encore une chose. L'acc�s distant � votre portmapper est contr�l�
par le contenu de vos fichiers /etc/hosts.allow et
/etc/hosts.deny. Si rcpinfo -p �choue alors que le portmapper
tourne, v�rifiez ces fichiers. Voyez la section sur la s�curit� pour
les d�tails concernant ces fichiers.
man rpc (extrait)
First, the client calls a procedure to
send a data packet to the server. Upon receipt of the
packet, the server calls a dispatch routine to perform the
requested service, and then sends back a reply. Finally, the
procedure call returns to the client.
sinon man rpc
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech
