Вышла Samba-4.0 alpha 1

>Ну и clear text тоже вполне безопасный, если гонять его по SSL, а сам по себе - решето.

Для чего SSL и был придуман, в принципе :)

>ftp сразу отпадает как решето, уязвимое для банального снифа пароля на любом из узлов по маршруту.

GSSAPI токены шифрованные ssl будешь снифить?

2lib - как добился?

Secure NFS and NIS via SSH Tunnel

http://www.math.ualberta.ca/imaging/snfs/

Tunneling NFS over SSH

http://www.howtoforge.com/nfs_ssh_tunneling

>> расшарен корень по nfs >Тема сисек^W решения не раскрыта.

>> libc@notebook /Volumes/192.168.1.30 $ id

> Гы неужели это то извращение, о котором я думаю - привязка доступа к директории по IP? Это называется "выдирать гланды через жопу". Аутентификация по UID и авторизация по порту < 1024 является признаком принятия тяжелых наркотиков аффтарами NFS.

сервер на linux'е. Авторизацию по порту > 1024 включил путем insecure в exports.

чтобы твоя "фича" работало надо включить опицию no_root_squash, которая по умолчанию выключена ;-)

> Есть в древней юних концепции штука такая - external atributs. И еше есть root %) если все это соединить, можно выйти за ограничения стандартной posix системы контроля прав доступа. Что samba и openafs и делают, собственно.

Лучше бы наследование, возможности делегирования полномочий и вложенные группы добавили в POSIX, а то напрягает их отстствие...

>Я даже на виндах нетбиос видел вживую в 2001 году в последний раз :) А у этих - только рассцвело :)

Вот интересно, а сейчас винда какой протокол использует? Ты когда tcpdump в виндовой сети последний раз запускал? Ламер.

> чтобы твоя "фича" работало надо включить опицию no_root_squash, которая по умолчанию выключена ;-)

Ну емае, ну не порутают так под любым любым другим UID сольют чужие документы загрузившись с livecd.

> external atributs.

Ты хочешь сказать extended xattr?

> acl group control в самба.

Это костыль.

In a POSIX filesystem, only the owner of a file or directory and the superuser can modify the permissions and ACLs on a file. If this parameter is set, then Samba overrides this restriction, and also allows the primary group owner of a file or directory to modify the permissions and ACLs on that file.

Т.е. если на винде на директории XYZ скажут дать право модификации атрибутов такой-то не PRIMARY группе любых файлов в этой директории, то работать не будет?

О боже какая идиотская конструкция из NFS-over-SSH. Представляю как это будет все тормозить. NFS через SSH - не нужен, SSH сам может работать в качестве SFTP сервера...

>А ты померяй как-нибудь этот самый широковещательный трафик: зачастую мультикастовые рассылки создают чудовищно меньший траф, чем модель клиент-сервер, где все 200 рыл тупо ломятся в одну дырку (пример - мультикастовое радио), а потом уже и отрывай себе руки по самые яйца. Броадкастовый нетбиос тому аналогия.

Судать, вы даже не потрудились ознакомиться в чем разница между малтикастом и броадкастом.
Садитесь - неуд. за сетевые познания.
Рекомендация - бить себя по голове гуглом с надписью "Протокол IGMP" до поумнения. С сетям близко не подходить.

> Вантузятник, ты уже дождалсо GUI в ядре, mrxsmb.sys и http.sys в ядре, так што выпей йаду. Samba работает в юзерспейсе.

Дурилка, ляпиксоиды, по их же заверениям, уже дождались NFS-сервиса в ядре, так шо выкинь себя в стену.

> Бсдунишко, в венде SMB - в ядре, во фре NFS как и в Linux тоже в ядре.

Тупоголовый, во фре в ядре лишь vfs-подобные вызовы: /usr/src/sys/nfsserver/nfs_serv.c:

/* * nfs version 2 and 3 server calls to vnode ops * - these routines generally have 3 phases * 1 - break down and validate rpc request in mbuf list * 2 - do the vnode ops for the request * (surprisingly ?? many are very similar to syscalls in vfs_syscalls.c) * 3 - build the rpc reply in an mbuf list

Сервис же в юзерспейце. Линухоиды же уверяли на первой странице, что у них сервис в /lib/modules/(и т.д.), т.е. в ядре. Что есть, по твоему посту, - признак венды.

>> Нафига самба, если наступит вендекапец ;)

самба 4 и есть важная часть вендекапца.

>ляпиксоиды

К логопеду, быдло!

> Дурилка, ляпиксоиды, по их же заверениям, уже дождались NFS-сервиса в ядре, так шо выкинь себя в стену.

Ну и это, должно быть, очень плохо? Слышал что-нибудьтто ты знаешь про переключениет контекста?

> Тупоголовый, во фре в ядре лишь vfs-подобные вызовы: /usr/src/sys/nfsserver/nfs_serv.c

Иди нюхай. http://www.securitylab.ru/vulnerability/263237.php

> Сервис же в юзерспейце. Линухоиды же уверяли на первой странице, что у них сервис в /lib/modules/(и т.д.), т.е. в ядре. Что есть, по твоему посту, - признак венды.

Бсдунишка, под линуксом есть все - и ядерный и юзерспейсный NFSD. Сервис в ядерном режиме более производителен чем юзерспейс-реализация, man переключение_контекста. Тебе напомнить про то как natd засунули в ядро(libalias), про ng_netflow?

>Ты хочешь сказать extended xattr?

eXternal ATTRibutes - их суперблок надо было ногами в фс вбивать - Мы же о UNIX говорим?

>Это костыль.

Тогда вся NTFS костыль - читай спецификации

> Т.е. если на винде на директории XYZ скажут дать право модификации атрибутов такой-то не PRIMARY группе любых файлов в этой директории, то работать не будет?

В самбе не будет, в openafs будет.

>Вот если будет патч для samba-3.0.25c, то посмотрю...А то даунгрейдится не хочется...

Только что собрал samba-3.0.25c с этим патчем... все замечательно работает.

З.Ы. Спасибо скинувшим ссылку и сделавшим патч :)

> Сервис в ядерном режиме более производителен чем юзерспейс-реализация, man переключение_контекста. Тебе напомнить про то как natd засунули в ядро(libalias), про ng_netflow?

Ну так ты мне расскажешь теперь, немощный, когда сендмыло, сквид, кламав и самбу в кернел запихнут? Вот, заодно еще туда же - [e]jabberd и астериск. Чисташоппраизвадительнеешопепетсь.

Про секлаб ты будешь девкам в подворотне рассказывать, а пока пойди понюхай secunia.com на предмет linux kernel (пока только кернель, делаем скидку на юный возраст)

> Пояните несведущему пожалуйста, данный подход авторизации и к NFSv4 относится?

NFSv4 можно настроить таким образом, что пользователь получает тикет у сервера Kerberos (по паролю), который потом используется для доступа к файлам на шаре. Так что пока злоумышленник не сломает сервер Kerberos или не украдёт пользовательский пароль, на подмонтированной через NFSv4 шаре доступ к файлам он не получит.

>eXternal ATTRibutes

s/eXternal/eXtended/

Спасибо за пояснения.

А можно УРЛ с травой про СМБ в ядре?

Можно:

http://www.linux.org.ru/jump-message.jsp?msgid=2128429&cid=2129761

>Перестань бредить.

>А этот модуль:
>$ /sbin/modinfo nfsd
>filename:       /lib/modules/2.6.18-4-686/kernel/fs/nfsd/nfsd.ko
>author:         Olaf Kirch <okir@monad.swb.de>
>license:        GPL
>vermagic:       2.6.18-4-686 SMP mod_unload 686 REGPARM gcc-4.1
>depends:        sunrpc,exportfs,lockd,nfs_acl

>наверное для красоты там лежит :-)

Ещё раз.

Для Ubuntu, чтобы завести NFS-сервер, нужно дать команду:
$sudo apt-get install nfs-kernel-server nfs-common portmap

Всё.
Это ПРЕЦЕДЕНТ. Неважно, в каких дистрибутивах NFS работает искароппки, но в Ubuntu его искароппки нет -- надо ДОУСТАНАВЛИВАТЬ.

> Для Ubuntu, чтобы завести NFS-сервер, нужно дать команду: > $sudo apt-get install nfs-kernel-server nfs-common portmap

Репозиторий штатный? значит это "искаробки".

>Ну да, разумеется, гений ты наш телекомуникационных телекомуникаций. А давай мы всем инетом будем имена лукапить бродкастам, круто будет?

>Чтобы узнать ip адрес машины я знать должен на всю подсеть орать? Может лучше стукнуться DNS/SLP серверу разочек?

да это какой-то дибил: патч посылает юникастовые пакеты по 137 порту, как и nmblookup -A; этот олень просто самбой ни разу не пользовался, а модные словеся типа броадкаст, мультикаст ему по МТВ рассказали - тама есть передача про игры :) ваще этот чувак тока себя умного видит и тащится, тащится :)))

УРЛ есть а травы -- нет.

> Блин, забыл, Linux не умеет быть NFS-сервером искароппки, в отличие от FreeBSD

с какого перепугу? ;-)

> Это ПРЕЦЕДЕНТ. Неважно, в каких дистрибутивах NFS работает искароппки, но в Ubuntu его искароппки нет -- надо ДОУСТАНАВЛИВАТЬ.

Утверждение "В Linux nfs не работает искар-ропке" может означать либо "в ядре линукс нету nfs сервера", либо "nfs не работает искаропки в большинстве дистрибутивов". Ни одно из этих утверждений, очевидно, не доказывается демонстрацией _одного_ дистрибутива.

Иначе я могу бы предъявить кастомную сборку freebsd, в которой _тоже_ надо доустанавливать portmap :)

> Это ПРЕЦЕДЕНТ. Неважно, в каких дистрибутивах NFS работает искароппки, но в Ubuntu его искароппки нет -- надо ДОУСТАНАВЛИВАТЬ.

все что ты продемонстрировал - это "существует дистрибутив linux, в котором из коробки нет nfs". Учи логику, быдло!

> Это ПРЕЦЕДЕНТ.

Это модульный подход. В ядре Linux модуль NFS-сервера есть. Если где-то в каком-то дистре этот модуль вырезали и положили в отдельный пакет ничего не обозначает. Так что про Linux, который не умеет быть NFS-сервером ты, бсдун, пробсдел все лужи в округе.