Re: NFS-Rechte
Reinhold Plew wrote: also als Read-Only gemounted, da kann dann kein $user schreiben. In der Liste gab es vor ein paar Tagen/Wochen mal eine Diskussion über die Optionen user/users, schau mal da rein, da stand afair die Lösung. Naja, es ging ja darum, wieso das FS angeblich ro gemountet ist und nicht darum, wer (user/users) mounten darf. Ich zitiere mein Ursprungsposting: - snip - flinker:~# ls -ld /notebook/var drwxrwxr-x2 root erno 1024 Dec 25 13:25 /notebook/var ... [EMAIL PROTECTED]:/notebook/var/sicherungen$ ls -ld /notebook/var/sicherungen drwxr-xr-x 2 erno root 16384 Apr 13 16:14 /notebook/var/sicherungen [EMAIL PROTECTED]:/notebook/var/sicherungen$ mount | fgrep notebook notebook:/var on /notebook/var type nfs (rw,noexec,nosuid,nodev,addr=192.168.10.69) [EMAIL PROTECTED]:/notebook/var/sicherungen$ bla bash: bla: Read-only file system - snip - Ich habe mittlerweile ein paar Rechte *beschnitten*. Nun sieht es so aus: - snip - drwxr-xr-x2 root root 1024 Dec 25 13:25 /notebook/var ... [EMAIL PROTECTED]:/notebook/var/sicherungen$ ls -ld /notebook/var/sicherungen drwxr-xr-x2 erno erno16384 Apr 16 17:38 /notebook/var/sicherungen [EMAIL PROTECTED]:/notebook/var/sicherungen$ mount | fgrep notebook notebook:/var on /notebook/var type nfs (rw,noexec,nosuid,nodev,addr=192.168.10.69) [EMAIL PROTECTED]:/notebook/var/sicherungen$ bla [EMAIL PROTECTED]:/notebook/var/sicherungen$ ls -l bla -rw-r--r--1 erno erno0 Apr 16 18:01 bla - snip - Und wie man sieht, es funktioniert. Lachen oder weinen? -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Rüdiger Noack wrote: Ich möchte als user erno (und nur als erno) auf ein Verzeichnis in einem per NFS gemountetem FS schreiben: Hallo, Rüdiger! Haben denn die beiden Nutzer auch auch beiden Rechnern die gleichen UIDs? Damit bin ich schonmal auf die Nase gefallen, daher als Tipp am Rande ohne länger nachzudenken.. Testen kannst Du das z.B. mit einem 'ls -lan'. Ein anderes Problem was mir spontan einfällt (zurückblätter): /notebook/var drwxrwxr-x2 root erno 1024 Dec 25 13:25 Vielleicht hilft Dir auch ein chown erno:root auf /notebook/var? Cheers, Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFAfVdcvvmCkIIgH8QRAiSGAKC+e9B17AiiAWFJ6BOvRa+FH/3GNgCdFxJM H1a19COIrxTKvQhlNIZ2TZQ= =zNlt -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Hallo Jan Jan Kesten wrote: Haben denn die beiden Nutzer auch auch beiden Rechnern die gleichen UIDs? Ja. Vielleicht hilft Dir auch ein chown erno:root auf /notebook/var? Nein, denn - snip -- chmod: changing- permissions of `/notebook/var': Read-only file system snip -- -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Rüdiger Noack wrote: Hallo Jan Jan Kesten wrote: Haben denn die beiden Nutzer auch auch beiden Rechnern die gleichen UIDs? Ja. Vielleicht hilft Dir auch ein chown erno:root auf /notebook/var? Nein, denn - snip -- chmod: changing- permissions of `/notebook/var': Read-only file system snip -- also als Read-Only gemounted, da kann dann kein $user schreiben. In der Liste gab es vor ein paar Tagen/Wochen mal eine Diskussion über die Optionen user/users, schau mal da rein, da stand afair die Lösung. Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
NFS-Rechte
Moin Ich möchte als user erno (und nur als erno) auf ein Verzeichnis in einem per NFS gemountetem FS schreiben: - snip - flinker:~# ls -ld /notebook/var drwxrwxr-x2 root erno 1024 Dec 25 13:25 /notebook/var ... [EMAIL PROTECTED]:/notebook/var/sicherungen$ ls -ld /notebook/var/sicherungen drwxr-xr-x 2 erno root 16384 Apr 13 16:14 /notebook/var/sicherungen [EMAIL PROTECTED]:/notebook/var/sicherungen$ mount | fgrep notebook notebook:/var on /notebook/var type nfs (rw,noexec,nosuid,nodev,addr=192.168.10.69) [EMAIL PROTECTED]:/notebook/var/sicherungen$ bla bash: bla: Read-only file system - snip - Die Ausgaben als erno im gemounteten, die als root im nicht gemounteten Zustand. Was fehlt denn noch? -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Gruesse! * Ruediger Noack [EMAIL PROTECTED] schrieb am [17.01.04 00:11]: Tja, NFS ist für dein Vorhaben einfach nicht gemacht. Und jetzt mal (für mich) theoretisch: In einer Umgebung mit Linux-Desktops wäre NFS doch naheliegend. Ist aber nach meinem Scenario eigentlich unverantwortlich. Da kommt jemand mit seinem Notebook (Linux), stöpselt sich anstelle seines Desktops mal vorübergehend mit der fremden IP-Adresse und mit fremdem Usernamen ins LAN und nimmt alle geklauten Daten fröhlich mit nach Hause. :-( So extrem hatte ich dieses Thema bisher nicht gesehen. Gut, dass wir darüber gesprochen haben. ;-) Allgemein hast du recht, nur noch mal für die Genauigkeit: a) der *Benutzername* allein langt nicht. Der BöseBube(BöBu) muß seinen geklauten Usernamen mit den gleichen UserID/GroupID ausstatten. Auf dem NFS-Server sind User/Group-Namen nur insofern relevant indem sie in ensprechende UID/GID umgesetzt werden. b) Man kann die Verzeichniss-Struktur (= Rechte-Struktur über UID/GID) der exportierten Verzeichnisse schmal setzen. D.h., wenn ich /Daten exportiere muß User Paul nicht in /Daten/Briefe schauen können, wenn er eigentlich nur Zugriff auf /Daten/MP3 haben soll. c) Man kann (sollte) Usern das Mounten verbieten. An importierten (NFS/Netz-Dateisystemen nur, was root beim Systemstart fest über fstab einmountet. Dann greift aber wieder obiges a) + b). d) Keine Root-Rechte über NFS! nur root_squash. e) Man kann über netfilter die IPs an bestimmte MAC-Adressen binden. f) Den nfs-port an einen unüblichen Port (! 2049) binden. Das fällt mir jetzt ein, um NFS etwas sicherer zu machen. Es sind allerdings nur *Hindernisse* um einen an sich unsicheren Dienst zu verbessern. Wenn der BöBu auf seinem Laptop über Root-Rechte verfügt und einigermaßen versiert ist, sind das keine Hindernisse. NFS ist also ähnlich als würde ich jeden mit einer Knoppix-CD an meinen Server lassen, der praktischerweise noch über Schnittstellen wie Floppy, CD-Rom, USB, ... verfügt. Würdest Du das? Eine Alternative für den semiprofessionellen Bereich wäre noch der Einsatz von crypto-Filessystemen, z.B. cfs (siehe apt-cache show cfs). Du würdest dann per nfs die verschlüsselten Daten exportieren, was z.B. so ausehen würde (wobei /data bei mir ein gemounteter NFS-Import ist): [EMAIL PROTECTED]:~$ ls /data/privat/ 0538edce1bd4478516416b399aef6abb 09526e8b24fdf43c2eac25bd8d7dfed4 1f0263f3396d361a 304c9bcf76e19563 396b501b5ddcec38e42a98f041f3152d4c96a593b93eb3d0bfece74bc2e6d69d 59b429159a6fd7a95e3aadf5e787d844 5fc77b61869c1e370098d9f87d4c19c094c90964e74ef6df 68378ec77a1088fe59e34c5d3f9a7ee9 76cadfa603003b2d 7b695e0ebc1dedceaf217112b229558b 8f3b6ed227878e0bb7ed38b58419f271 98c9766315bcf7cf1e56fb0597d41bb6 9dd4ee62dce9d5304fe12f3b2b28e115 a3043240a24177fc bf09237c4404ccea c1fc99e3a9e16fec2eb9d3cca298ce5f6370965f86a66f34 c36c94932a2f4f4e75dd5cc948c8477c c8d41bc32fbb7c96a22e5ba6d33ae495 c97141a1c470ed6cd1745a6866f7f685 e6f72d033ff039dd ed85032c6a6ce34068c996a062435c413c7d2f2d8ae2e8e2 Auf dem Client wird dann vom User mittels cattach das verschlüsselte Verzeichniss unter Abfrage einer starken Passphrase lokal eingemountet (z.B. nach /crypt/privdata. Dort kann der User kann wieder mit den unverschlüsselten Daten arbeiten, die weiterhin aber verschlüsselt auf dem NFS-Server sind. Daß kostet halt etwas CPU-Zeit auf den Clients. Obiges a) und b) gelten aber weiterhin. Wenn der BöBu Schreibzugriff auf die verschlüsselt abgelegten Daten erlangen sollte (über UID/GID oder als root) löscht er halt Dateien und Verzeichnisse mit kryptischen Inhalt. Das *Lesen* und Nutzen der Daten ist aber nahezu unmöglich. Gruß Rüdiger Gruß Gerhard -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
On Thursday 15 January 2004 21:02, Ruediger Noack wrote: Moin moin Moin, Ich stehe gerade mal wieder ziemlich auf dem Schlauch... :-( soll ich dir von meinen Samba-Problemen erzählen? Mein Vorhaben: Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User von genau _einem_ Client freigeben. Das mit dem einen Client ist kein Problem, machst du in der /etc/exports Dieser User ist kein realer User. Er soll nur clientseitige Sicherungs-Archive auf eine andere Büchse (den NFS-Server) schaufeln. Also ein Systemuser wie nobody oder so. Kurzform: Auf der NFS-Server-Seite kann niemand (außer root natürlich) auf das Verzeichnis zugreifen, NFS-Client-seitig nur ein User. Wir realisiert man das? Muss ich dazu auf der Server-Seite diesen User einrichten? Oder kann man das über einer fiktive User-ID lösen? Du kannst den User anlegen, das Verzeichnis ihm geben und die Rechte auf 700 setzen. Oder ist NFS soundso zu unsicher, um sich darüber Gedanken zu machen? Es handelt sich dabei allerdings um ein privates Netz. Oder du gibst dieses Verzeichnis root (nur ein Beispiel) und maps die User ID in der /etc/exports entsprechen. Siehe dazu die Sektion 'User ID Mapping' in der manpage zu exports. Unter Umstanden muss root_squash noch abgeschaltet werden. CU -- |Michael Renner E-mail: [EMAIL PROTECTED] | |D-72072 Tuebingen Germany| |Germany Don't drink as root! ESC:wq -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Michael Renner wrote: On Thursday 15 January 2004 21:02, Ruediger Noack wrote: Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User von genau _einem_ Client freigeben. Das mit dem einen Client ist kein Problem, machst du in der /etc/exports Naja, dort beschränke ich auf einen Host_namen_ bzw. eine IP-_Adresse_. Schall und Rauch. :-( Das ist ungefähr wie: Es klingelt an der Tür, ich lasse mir einen Zettel mit dem Namen des Einlasssuchenden hereinreichen und entscheide danach, ob ich die Tür öffne. Weder vor noch nach dem Öffnen prüfe ich auf Übereinstimmung zwischen Namen und Person. Das ist nicht wirklich brauchbar. :-( Du kannst den User anlegen, das Verzeichnis ihm geben und die Rechte auf 700 setzen. Zusätzlicher User = zusätzliche Unsicherheit, würde ich lieber vermeiden. Nicht das ich das als sehr kritisch ansehe, aber lieber erst einmal ausreizen, was man soundso hat bzw. haben muss. Oder du gibst dieses Verzeichnis root (nur ein Beispiel) und maps die User ID in der /etc/exports entsprechen. Siehe dazu die Sektion 'User ID Mapping' in der manpage zu exports. Unter Umstanden muss root_squash noch abgeschaltet werden. Das muss ich mir ansehen, danke. Da root soundso an die daten könnte, scheint mir das vernünftiger zu sein. Bleibt das Client-Problem. Scenario: In diesem Netz gibt es einen bösen Buben. Er braucht nur IP-Adresse des authorisierten Rechners und Usernamen kennen und richtet das auf seinem Rechner mal schnell ein... Und freut sich über viele neue Daten. ;-) Geht's noch einfacher? Deswegen die Ursprungsfrage. Kann man sich NFS-seitig besser absichern? Wenn nicht, bleiben 3 Möglichkeiten: 1. auf NFS verzichten; 2. NFS nur in einem Netz mit *ausschließlich* vertrauenswürdigen Usern (at home? ;-) ); 3. Zusätzliche Sicherungsmaßnahmen; Was käme denn für 3. in Zusammenhang mit NFS in Frage? Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Ruediger Noack [EMAIL PROTECTED] wrote: Michael Renner wrote: On Thursday 15 January 2004 21:02, Ruediger Noack wrote: Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User von genau _einem_ Client freigeben. Das mit dem einen Client ist kein Problem, machst du in der /etc/exports Naja, dort beschränke ich auf einen Host_namen_ bzw. eine IP-_Adresse_. Schall und Rauch. :-( Tja, NFS ist für dein Vorhaben einfach nicht gemacht. Ist es denn keine Option, z.B. via scp die Daten dorthin zu bewegen, wo du sie haben möchtest? S° -- BOFH excuse #221: The mainframe needs to rest. It's getting old, you know. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Sven Hartge schrieb: Ruediger Noack [EMAIL PROTECTED] wrote: Michael Renner wrote: On Thursday 15 January 2004 21:02, Ruediger Noack wrote: Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User von genau _einem_ Client freigeben. Das mit dem einen Client ist kein Problem, machst du in der /etc/exports Naja, dort beschränke ich auf einen Host_namen_ bzw. eine IP-_Adresse_. Schall und Rauch. :-( Tja, NFS ist für dein Vorhaben einfach nicht gemacht. Ist es denn keine Option, z.B. via scp die Daten dorthin zu bewegen, wo du sie haben möchtest? vielleicht auch rsync? Wegen der Sicherungsarchive? S° Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Reinhold Plew wrote: Sven Hartge schrieb: Tja, NFS ist für dein Vorhaben einfach nicht gemacht. Je länger ich darüber nachdenke, umso mehr komme ich auch zu dieser Erkenntnis. Aber genau das Machbare wollte ich ja für mich erst einmal ausleuchten, bevor ich mich mit einem Schnellschuss für etwas falsches entscheide. Ist es denn keine Option, z.B. via scp die Daten dorthin zu bewegen, wo du sie haben möchtest? Da ich eine sehr eigene Art des Ablegens von Sicherungen habe, wollte ich fast sagen, das es in meinem Fall sehr unpraktisch wäre. Ist es aber gar nicht. Meine Sicherungen der Clients werden nämlich ziemlich unregelmäßig (manchmal mehrmals täglich) in Archive gemacht, die ich vorrangig lokal vorhalte und bei notwendigen (Teil-) Rekos fast immer von da hole. Die Kopieren auf einen Server ist nur der doppelte Boden für wirkliche Disaster. Und da die wirklich selten gebraucht werden (bei einem Disaster eben) muss der Client auch nicht direkt sehen können, welche Archive von welchem Tag (und damit mit welchen Namen) vorhanden sind. vielleicht auch rsync? Wegen der Sicherungsarchive? rsync ist eher für einen Schnappschuss (Spiegel) und für die Sicherung mehrerer Generationen eher nicht geeignet. Oder kann rsync mehr als ich vermute? Gruß und Danke Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Sven Hartge wrote: Ruediger Noack [EMAIL PROTECTED] wrote: Michael Renner wrote: On Thursday 15 January 2004 21:02, Ruediger Noack wrote: Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User von genau _einem_ Client freigeben. Das mit dem einen Client ist kein Problem, machst du in der /etc/exports Naja, dort beschränke ich auf einen Host_namen_ bzw. eine IP-_Adresse_. Schall und Rauch. :-( Tja, NFS ist für dein Vorhaben einfach nicht gemacht. Und jetzt mal (für mich) theoretisch: In einer Umgebung mit Linux-Desktops wäre NFS doch naheliegend. Ist aber nach meinem Scenario eigentlich unverantwortlich. Da kommt jemand mit seinem Notebook (Linux), stöpselt sich anstelle seines Desktops mal vorübergehend mit der fremden IP-Adresse und mit fremdem Usernamen ins LAN und nimmt alle geklauten Daten fröhlich mit nach Hause. :-( So extrem hatte ich dieses Thema bisher nicht gesehen. Gut, dass wir darüber gesprochen haben. ;-) Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Ruediger Noack schrieb: Reinhold Plew wrote: Sven Hartge schrieb: Tja, NFS ist für dein Vorhaben einfach nicht gemacht. Je länger ich darüber nachdenke, umso mehr komme ich auch zu dieser Erkenntnis. Aber genau das Machbare wollte ich ja für mich erst einmal ausleuchten, bevor ich mich mit einem Schnellschuss für etwas falsches entscheide. Ist es denn keine Option, z.B. via scp die Daten dorthin zu bewegen, wo du sie haben möchtest? Da ich eine sehr eigene Art des Ablegens von Sicherungen habe, wollte ich fast sagen, das es in meinem Fall sehr unpraktisch wäre. Ist es aber gar nicht. Meine Sicherungen der Clients werden nämlich ziemlich unregelmäßig (manchmal mehrmals täglich) in Archive gemacht, die ich vorrangig lokal vorhalte und bei notwendigen (Teil-) Rekos fast immer von da hole. Die Kopieren auf einen Server ist nur der doppelte Boden für wirkliche Disaster. Und da die wirklich selten gebraucht werden (bei einem Disaster eben) muss der Client auch nicht direkt sehen können, welche Archive von welchem Tag (und damit mit welchen Namen) vorhanden sind. vielleicht auch rsync? Wegen der Sicherungsarchive? rsync ist eher für einen Schnappschuss (Spiegel) und für die Sicherung mehrerer Generationen eher nicht geeignet. Oder kann rsync mehr als ich vermute? Du kannst es ja ganz trivial verwenden, sichere geänderte oder neue Dateien des Source-Verzeichnis nach [EMAIL PROTECTED] kannst Du auf $user mit Passwort-Abfrage festlegen. Mach ich für meine DatenDirs per Cron und funktioniert. Gruß und Danke Rüdiger Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Hallo Rüdiger, wie wärs denn mit http://shfs.sourceforge.net/ ? Oder http://www.math.ualberta.ca/imaging/snfs/ Ich habe leider beides noch nicht getested. Grüsse, Bernd -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS-Rechte
Ruediger Noack [EMAIL PROTECTED] wrote: In einer Umgebung mit Linux-Desktops wäre NFS doch naheliegend. Ist aber nach meinem Scenario eigentlich unverantwortlich. Da kommt jemand mit seinem Notebook (Linux), stöpselt sich anstelle seines Desktops mal vorübergehend mit der fremden IP-Adresse und mit fremdem Usernamen ins LAN und nimmt alle geklauten Daten fröhlich mit nach Hause. :-( Richtig. Damals[tm], als NFS erdacht wurde, hat man sich über diese Dinge keine Gedanken gemacht/machen müssen. Rechner waren groß, Rechner waren schwer, und Netzwerk war eine Seltenheit. Die Gefahr war größer, das jemand in den Serverraum einbricht und die Platten klaut als das eine IP eines Rechner geklaut und dann ein Export auf dem falshen Rechner gemountet werden konnte. Erst NFS4 bietet etwas in der Richtung, wie du es willst, aber das dauert noch, bis das produktiv wird. Was du eigentlich willst, ist etwas wie OpenAFS. (Nein, versuche erst gar nicht, das benutzen zu willen. Selbst für eine normale Hochschule ist das schon fast oversized.) S° -- BOFH excuse #292: We ran out of dial tone and we're and waiting for the phone company to deliver another bottle. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
NFS-Rechte
Moin moin Ich stehe gerade mal wieder ziemlich auf dem Schlauch... :-( Mein Vorhaben: Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User von genau _einem_ Client freigeben. Dieser User ist kein realer User. Er soll nur clientseitige Sicherungs-Archive auf eine andere Büchse (den NFS-Server) schaufeln. Kurzform: Auf der NFS-Server-Seite kann niemand (außer root natürlich) auf das Verzeichnis zugreifen, NFS-Client-seitig nur ein User. Wir realisiert man das? Muss ich dazu auf der Server-Seite diesen User einrichten? Oder kann man das über einer fiktive User-ID lösen? Oder ist NFS soundso zu unsicher, um sich darüber Gedanken zu machen? Es handelt sich dabei allerdings um ein privates Netz. Gruß Rüdiger PS. nein, ich möchte nicht den 2. Schritt vor dem ersten tun und erst über Verschlüsselung reden. ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFS: Rechte-problem
Hi Markus! On Wed, 13 Mar 2002, Markus Grunwald wrote: Servus ! Ich habe hier zwei Rechner, eddie und marvin: Linux Marvin 2.2.18pre21 #14 Wed Oct 17 20:20:24 CEST 2001 i586 unknown Linux Eddie 2.4.17 #1 Sam Feb 16 14:06:40 CET 2002 i686 unknown Von marvin aus exportiere ich ein Verzeichnis mit Daten an eddie. Dummerweise kann ich momentan nur als root von eddie aus Dateien erstellen und weiß nicht warum. Ausführlich: Sind die UserIDs unter von markus unter eddie und marvin gleich ?? Was sagt 'id' als user markus ausgefuert auf eddie und marvin ?? Gruss Markus -- [ markus hubig ] [ mail: [EMAIL PROTECTED] ] [ debian/gnu linux (sid) ] [ vorholzstrasse 6 ] [ saft: [EMAIL PROTECTED] ] [ linux 2.4.17 i686 ] [ 76131 karlsruhe ] [ tele: +049 721 6657522 ] [ reg. Linux user #204961 ] msg03791/pgp0.pgp Description: PGP signature
Re: NFS: Rechte-problem
Hallo Markus! Markus Grunwald schrieb am Mittwoch, 13. März 2002: Ich habe hier zwei Rechner, eddie und marvin: Linux Marvin 2.2.18pre21 #14 Wed Oct 17 20:20:24 CEST 2001 i586 unknown Linux Eddie 2.4.17 #1 Sam Feb 16 14:06:40 CET 2002 i686 unknown Von marvin aus exportiere ich ein Verzeichnis mit Daten an eddie. Dummerweise kann ich momentan nur als root von eddie aus Dateien erstellen und weiß nicht warum. Ausführlich: Das Verzeichnis heißt eddie und sieht auf marvin so aus: | markus@Marvin: ls -l | insgesamt 2 | drwxrwsr-x2 root seti 1024 13. Mär 10:38 eddie | markus@Marvin: ls -ln | insgesamt 2 | drwxrwsr-x2 01006 1024 13. Mär 10:38 eddie Mein Benutzer markus ist in der Gruppe seti: | markus@Marvin: grep seti /etc/group | seti:x:1006:markus Auf marvin kann ich ohne Probleme als markus Dateien erstellen: | markus@Marvin: pwd | /var/spool/setiathome/eddie | markus@Marvin: touch test | markus@Marvin: ls -l test | -rw-r-1 markus seti0 13. Mär 10:50 test Das Verzeichnis wird per nfs kernelserver exportiert. /etc/exports enthält die Zeilen: | /var/spool/setiathome/eddie eddie.galaxy.home(rw,no_root_squash) ^^ | /var/spool/setiathome/eddie *.galaxy.home(ro,no_root_squash) ^^ Warum einmal 'rw' und ein anderes mal 'ro' Rechte? Was sagt Dir ein 'exportfs -r -v' auf 'marvin'? Was sagt denn die Datei /etc/hosts.allow und /etc/hosts.deny auf 'marvin' dazu? Grüße - Wilhelm -- (° Wilhelm Wienemann [EMAIL PROTECTED] -°) -°) //\ Grüße vom NiederRhein, der Region mit R(h)einKultur /\\ /\\ V_/_ _\_V _\_V -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
NFS: Rechte-problem
Servus ! Ich habe hier zwei Rechner, eddie und marvin: Linux Marvin 2.2.18pre21 #14 Wed Oct 17 20:20:24 CEST 2001 i586 unknown Linux Eddie 2.4.17 #1 Sam Feb 16 14:06:40 CET 2002 i686 unknown Von marvin aus exportiere ich ein Verzeichnis mit Daten an eddie. Dummerweise kann ich momentan nur als root von eddie aus Dateien erstellen und weiß nicht warum. Ausführlich: Das Verzeichnis heißt eddie und sieht auf marvin so aus: | markus@Marvin: ls -l | insgesamt 2 | drwxrwsr-x2 root seti 1024 13. Mär 10:38 eddie | markus@Marvin: ls -ln | insgesamt 2 | drwxrwsr-x2 01006 1024 13. Mär 10:38 eddie Mein Benutzer markus ist in der Gruppe seti: | markus@Marvin: grep seti /etc/group | seti:x:1006:markus Auf marvin kann ich ohne Probleme als markus Dateien erstellen: | markus@Marvin: pwd | /var/spool/setiathome/eddie | markus@Marvin: touch test | markus@Marvin: ls -l test | -rw-r-1 markus seti0 13. Mär 10:50 test Das Verzeichnis wird per nfs kernelserver exportiert. /etc/exports enthält die Zeilen: | /var/spool/setiathome/eddie eddie.galaxy.home(rw,no_root_squash) | /var/spool/setiathome/eddie *.galaxy.home(ro,no_root_squash) So, auf Eddie sieht das dann gemountet so aus: | markus@Eddie: mount | grep eddie | marvin:/var/spool/setiathome/eddie on /var/spool/setiathome/eddie | type nfs | (rw,rsize=8192,wsize=8192,retry=5,retrans=1,soft,addr=192.168.42.99) | markus@Eddie: ls -l | insgesamt 2 | drwxrwsr-x2 root seti 1024 13. Mär 10:38 eddie | markus@Eddie: ls -ln | insgesamt 2 | drwxrwsr-x2 01006 1024 13. Mär 10:38 eddie Auch auf eddie bin ich in der Gruppe seti: | markus@Eddie: grep seti /etc/group | seti:x:1006:markus Auch nach aus- und einloggen ( wegen Gruppenzugehörigkeit) kann ich als markus keine Datei erzeugen. Dies geht nur als root... | markus@Eddie: cd eddie | markus@Eddie: touch test | touch: Erzeugen von »test«: Keine Berechtigung | markus@Eddie: su | Password: | root@Eddie: pwd | /var/spool/setiathome/eddie | root@Eddie: touch test | root@Eddie: ls -l test | -rw-r-1 root seti0 13. Mär 10:46 test Ich begreife einfach nicht, was ich da falsch mache... Kann mir da jemand helfen ? -- Markus Grunwald Registered Linux User Nr 101577 http://counter.li.orghttp://www.grunwald.2xs.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
