Názory k článku
NFS a Autofs: Sdílení v LAN

Je možné použít NFS i v enterprise řešení? (také jsem NFS doma používal před pár lety..)
Ted řeším, jak dostat data na server, samozřejmě jsem o NFS dost načetl, ale nevím, jak je to s šifrováním a celkovou bezpečností, aby se mi nepřipojil někdo cizí na oddíl :)

Fejkovat IP tuším není moc velký problém..

NFS samo o sobe moc bezpecne neni, ale lze ho vcelku snadno tunelovat skrz SSH (viz google 8) )

nebo pres ipsec. nebo pouzit nfs4.

"Moc není"? NFS žádnou bezpečnost nemá. Uživatelé se autentikují tak, že přijde paket z nějaké IP adresy (kde nejsou lepší switche, tak to lze nafakovat snadno -- prostě si ji nastavím): moje uid je tohle a tohle a naval moje data; server: ahoj, tady je máš. O (mj.) nfs4 je na abíčku celý seriál: Centrální správa účtů a Single Sign-On

Spatne, znamena to Nightmare File System :-]

> Fejkovat IP tuším není moc velký problém..

Fejkovat IP je hodne velky problem. Zbortily by se tim principy TCP/IP.

Fejkovat IP na lokalní síti není žádný problém. Tedy pokud není řízená přes IP switch, což ovšem bývá málokdy. Většinou narazíte na ethernetový switch, který na podvržená data v IP hlavičce obvykle kašle. Dostat falešnou IP adresu přes router ale již problém bude.

nfs obecne neni nejak extra bezpecne, umi jen povolit pripojeni z urcite IP nebo site, povolit/zakazat zapis, a pak to kolem uzivatelu-squash. sifrovani zajistis tunelovanim pres ssh nebo vpn.

NFS v <3 neni moc bezpecne pac umi jen system security, nicmene pokud bych chtel bezpecnost, tak nez jit do takovych hruz jako tunelovani pres ssh tak bych ser rovnou do nfsv4 s Kerberosem. Pravda, chce to vcelku novy kernel, ale funguje to.

Mě by spíše zajímalo NFS4, máte s ním nějaké zkušenosti?
Zabezpečení, kerberos nebudu potřebovat, jelikož export půjde jen do pár strojů, ale chtěl bych, aby neunikaly data :) a bylo to rychlé, spolehlivé :)

Tak data neunikaji asni s NFSv3. Co se tyce NFSv4 to chce opravdu nejaky novejsi kernel. Napr neni problem poslat RHEL4 stroj (kernel 2.6.9) do kernel panic. RHEL-5 uz funguje spolehlive. Co se tyce rychlosti je na tom NFSv3 porad jeste lepe. Hlavni prinos NFSv4 bych videl v lepsi podpore zamku -> lepsi konzistence FS.

Aha, tak to jsem ani nevedel.... :-)

dobry by byl clanek o dalsich sitovych fs.

NFS je vyborna vec, ale bohuzel je v urcitem ohledu neflexibilni:

Problem je v tom, ze aby uzivatel mohl spravne pracovat se vzdalenymi soubory a adresari, tak musi mit stejne User ID, jako na svem lokalnim stroji.

Samozrejme je mozne si na svem stroji zmenit User ID na stejne, jako je na vzdalenem serveru, a pak na vsech vlastnenych souborech zavolat chown, ale toto reseni se neda povazovat v zadnem pripade za elegantni.
Navic to neresi problem, ze bych si chtel pripojit dva (nebo vice) NFS, ale na kazdem vzdalenem stroji mam jine UserID.

Takze ja z tohoto duvodu pouzivam Sambu, pripadne SSHFS.

Nebo vite nekdo, jak tento problem NFS obejit?

NFS som nepouzival, ale mam taky dojem ze toto sa riesilo tak ze spolu s NFS sa pouzivalo NIS coby centralna overovacia autorita. Konta potom mali vsade rovnake UID. Nasadenie NIS ale potrebuje mensie prekonfigurovania v /etc/nsswitch. Niekto znaly by sa mohol ozvat.

Ako vravim NFS som nepouzival a ani ho nepreferujem. Tieto veci riesim skrze AFS/Kerberos. BTW: Je mozne sa do NFS autorizovat cez LDAP?

Ono taky NFS je určené k něčemu jinému, než evidentně chceš. NFS máš na fileserveru, kam se připojují klienti na místní LAN (nebo tunelu) nebo jen servery ve stejném racku a vše se autentizuje oproti centrálnímu LDAP (nebo něco na ten způsob). Tím je zajištěno, že všichni budou mít správné UID.

Když jsem se setkal s NFS poprvé, také mě zarazila jeho "bezpečnost", ale když si člověk uvědomí co to vlastně je (network FILE SYSTEM), tak zjistí, že je to s bezpečností na úplně stejné úrovni jako jakýkoliv diskový FS (určitě se najde šťoura se šifrovaným FS ;-))

Přesně tak - není problém NFS řešit to, že máš na kařdém stroji jiné UID. To je spíše problém správce systému :-) S tím by měly problém i Okna se svým CIFS. A, jak už tady bylo řečeno, Okna to řeší doménou Active Directory, Unix to řeší NISem a nebo lépe LDAP adresářem. Ale to už je jinačí story...

Pro NFSv4 existuje idmapd.

Diky, to je zajimave, na to se podivam.

Přesně tak, NFS z důvodu zvýšení rychlosti užívá cache na straně klienta i serveru - takže se to chová tak jak pozoruješ. A to zatuhnutí bude asi způsobeno nějakým prapodivným ovladačem síťovky....

The “N” in NFS stands for Not, or Need, or perhaps Nightmare.
—Henry Spencer

http://en.wikipedia.org/wiki/UNIX-HATERS_Handbook

http://bugzilla.kernel.org/show_bug.cgi?id=8966

Sorry vole, error!

zkratka ne skratka

no ma to par problemov ....

1. skuste nieco pripojit priamo pod /
2. chyba mi tam direct mapa, proste podobne ako cez fstab, len riadene autofs.

skusal som dat dokopy obidva body a podarilo sa mi odprazit produkcny server ;-)

ako uz bolo spomenute, linuxovy nfs klient si z nejakeho dovodu udrzuje identifikator servera, takze ked sa prerusi mount (ci uz havariou servera, sietovym problemom alebo unexport na serveri) tak jedine ako sa toho zbavit je reboot klienta. to je strasny nedostatok.

Ad 1. no to rozhodne neni problem NFS :-)

Ohledne reseni problemu nfs rebootem, se podivejte na volby soft/hard intr/nointr.

soft/hard mount osetri len to, ci ten mount natvrdo zahanguje vsetky pristupujuce procesy alebo vytimeoutuje. neriesi ako sa zbavit nefunkcneho mountu.

napr, nfs na HP-UX staci ked vidi IP na sieti a vsetko je ok. server poskytujuci tu IP ani nemusi bezat NFS service, proste sa to da potom odmountovat a vsetko je ciste. linux oproti tomu ak nema uplne presne ten isty server tak ten mount proste ostane visiet a zbavit sa ho da len rebootom.

Neni pravda. Pokud NFS server zas naběhne, tak NFS klient se rozběhne taky. A pokud dostanete něco jako "stale NFS handle" tak je to tím že exportujete LVM svazky.
Ohledně zamrznutí když je NFS server dole tak to je způsobeno tím, že by default NFS užívá hard mounty. To se ale dá změnit.....

Existuje nejaky osvedceny klient pro Win32? Idealne pod GPL?

primo od M$
http://support.microsoft.com/kb/324055

wow. to jsem uplne minul. diky!
mas s tim nejake zkusenosti? stabilita/rychlost?

presne toto me stve kdyz mam sesitovanej laptop a desktop, tak ze odpojeni jednoho bez patricneho umountu (napr. umount /mnt/laptop) mi zabrani v jakemkoliv pristupu do /mnt.

diky autorovi ;]

Ahoj, práve som sa hodinu trápil, keď mi nechcelo ísť autofs s smbfs. V článku je chyba. Chýba tam dvojbodka pred zadaním cesty k PC
nespravne
misha -fstype=smbfs,credentials=/etc/smb.auth //10.1.3.1/disk

spravne
misha -fstype=smbfs,credentials=/etc/smb.auth ://10.1.3.1/disk


Ďakujem