правильная настройка прав NFSv4

0

3

Здравствуйте. Имеется настроенный NFSv4 (vers=4.2) и пачка клиентов.

cat /etc/exports 
/mnt/data/shared 192.168.12.0/24(rw,async,fsid=0)
/mnt/data/shared/owncloud 192.168.12.91(rw,async)
/mnt/data/shared/mariadb 192.168.12.30(rw,async)

Что имеется: корневая директория /mnt/data/shared доступна всем для записи. Ее права оверрайтят права ее поддиректорий, то есть я могу с клиента 192.168.12.91 писать в директорию mariadb. Кроме того к NFS серверу могут подключаться все машины 192.168.12.0/24. Если установить корню (/mnt/data/shared) режим РО , то остальные директории тоже станут РО, т.к. корень оверрайтит настройки поддиректорий.

Что хочется: что бы все машины 192.168.12.0/24 могли монтировать корень NFS (/mnt/data/shared) в режиме РО, а права на поддиректории определялись соответствующими записями. Подскажите пожалуйста как это настроить.

Ссылка

←	Просмотр смонтированных разделов в системе

NetworkManager и tap

→

+/mnt/data/shared 192.168.12.0/24(ro,async,fsid=0)
-/mnt/data/shared 192.168.12.0/24(rw,async,fsid=0)

Ну и фаерволом тоже можно

itn ★★★
(23.10.15 14:05:26 MSK)

Ответ на: комментарий от itn 23.10.15 14:05:26 MSK

Если сделать так, как вы сказали, то директории

/mnt/data/shared/owncloud 192.168.12.91(rw,async)
/mnt/data/shared/mariadb 192.168.12.30(rw,async)

тоже станут RO, т.к. настройки родителя переписывают настройки директории. Файрволлом можно зарезать доступ только к сервису NFS, но не к конкретным директориям.

larrabee
(23.10.15 14:33:33 MSK) автор топика

Ответ на: комментарий от larrabee 23.10.15 14:33:33 MSK

А разве эти записи не перекрывают ro корневого каталога?

itn ★★★
(23.10.15 15:18:15 MSK)

Ответ на: комментарий от itn 23.10.15 15:18:15 MSK

В том то и дело, что нет.

larrabee
(23.10.15 15:23:00 MSK) автор топика

Ответ на: комментарий от larrabee 23.10.15 15:23:00 MSK

Ну к сожалению тут только два выхода либо блочить через iptables, либо трахаться с авторизацией через Kerberos/GSSAPI.

Если тебя интересует безопасность то nfs не лучший выбор, так как nfs предполагает что сеть уже стерильная.

itn ★★★
(23.10.15 15:47:14 MSK)

Ссылка

Ответ на: комментарий от larrabee 23.10.15 15:23:00 MSK

А ты сколько раз на клиенте монтируешь? Один раз один каталог /mnt/data/shared ? Попробуй два раза монтировать на клиенте, сначала /mnt/data/shared, а потом /mnt/data/shared/owncloud

anonymous
(23.10.15 18:11:30 MSK)

Ответ на: комментарий от anonymous 23.10.15 18:11:30 MSK

Монтирую 1 раз. Вобщем насколько я выяснил то, что я хочу не возможно с использование chroot (fsid=0). Схема монтирования в стиле NFSv3 работает нормально. Вот рабочий вариант:

/mnt/data/shared/owncloud owncloud.nixdi.com(rw,async,subtree_check)
/mnt/data/shared/mariadb 192.168.12.30(rw,async,subtree_check)

larrabee
(23.10.15 18:26:23 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Просмотр смонтированных разделов в системе

Admin

NetworkManager и tap

→

Похожие темы