Fragen zu NFS und NFS Alternativen

[pospiech]

NFS hat einige Nachteile, zum einen die fehlende Verschlüsselung und zum anderen, dass es kein unmounten von nicht mehr existierenden Servern erlaubt.
Die Fehlermeldung "Cannot MOUNTPROG RPC: RPC:" ist hierfür charakteristisch.

Jetzt habe ich gelesen, dass dieses unmounten möglich ist, wenn man 'soft' mounted - hat das weitere Auswirkungen, als dass man unmounten kann ?

NFS ohne portmapper - macht das Sinn ? Habe gelesen dass das geht, weiß aber nicht welchen Unterschied das macht.

Wenn das unmounten nicht geht und zusätzlich eigentlich eine Verschlüsselung gewünscht ist wäre die Frage nach einer Alternative.

Gefunden habe ich Fuse+sshfs. Lies sich mit smart auch direkt installieren.
Leider habe ich auf http://fuse.sourceforge.net/wiki/index.php/SshfsFaq gelesen, dass damit symlinks nicht richtig aufgelöst werden. Das ist dann im Zweifelsfall ein Kriterium das den Einsatz verbietet, da in meinen Homes sehr viele Sachen über Links laufen.

CFS ist wohl NFS plus Verschlüsselung, was wegfällt wenn NFS ansich nicht nutzbar ist.

Es gibt noch weitere Systeme wie Coda und AFS, die aber anscheint meinen Ansprüchen, 4 Rechner im Netz eine simple Dateifreigabe zu ermöglichen, einen zu hohen Arbeitsaufwand engegenstellen.

Samba teste ich gerade aus. Das aber hat Einschränkungen eines Windowsdateisystems, selbst wenn es von ext3 liest und wieder auf ext3 schreibt, z.B. Groß und Kleinschreibung werden gleichbehandelt. Damit kann ich meine Dateien nicht alle kopieren.

Hoffe auf Kritik und Anregungen zu meinen Überlegungen

Matthias

 

[tux486]

Grüß Gott,
wenn Du von fehlender Verschlüsselung im Sinne von Sicherheit bei NFS sprichst, meinst Du bestimmt die NFS Versionen bis einschließlich 3. Ab NFS Version 4 wird z.B. Kerberos unterstützt, sodaß die Paßwörter nicht mehr im Klartext durch das Netzwerk gehustet werden.
Siehe Sun Webseite zu NFS v4 und Network File System (NFS) version 4 Protocol für weitere Informationen.
Meines Wissens unterstützen Red Hat Enterprise Linux 4 (RHEL4) und seine freien Derivate (z.B. CentOS 4.3) bereits NFS v4 von Hause aus.

 

[pospiech]

Grüß Gott,
wenn Du von fehlender Verschlüsselung im Sinne von Sicherheit bei NFS sprichst, meinst Du bestimmt die NFS Versionen bis einschließlich 3. Ab NFS Version 4 wird z.B. Kerberos unterstützt, sodaß die Paßwörter nicht mehr im Klartext durch das Netzwerk gehustet werden.

Das ist mir bekannt. Ebenso, dass ich keine Installation kenne die NFS4 einsetzt. Selbst an der Uni wo man auf Sicherheit großen Wert lege.
Zudem habe ich keine Pakete für Ssuse 10.1 gesehen. Und kerberos hört sich für mich nach einem riesigen Aufwand an, auf den ich gerne Verzichten möchte.

Wenn es jedoch Installationen und gute Anleitungen für NFS4 für suse geben sollte und kerberos sehr einfach einzurichten ist - dann mache ich das gerne.

Matthias

 

[ThomasF]

Moin ... ich möchte dieses Thema gerne noch einmal aufgreifen

Zu den bisherigen Posts folgende Anmerkungen :

Ab NFS Version 4 wird z.B. Kerberos unterstützt, sodaß die Paßwörter nicht mehr im Klartext durch das Netzwerk gehustet werden

Ja ab Version 4 wird Kerberos unterstützt ... das bedeutet IMHO jedoch nicht das bis Version 3 Passwörter im Klartext übertragen werden !!!

Wir setzten hier bei uns NFS3 für die Homes der Linux Clients ein ... der Client muss sich jedoch erst über LDAP am Server Authentifizieren, dort wird das Passwort per TLS oder SSL übertragen. Bei der Anmeldung bekommt der User dann seine UID und GID bzw. hat dort die gleichen wie auf dem Server.

NFS arbeitet nun mit genau diesen UIDs und GIDs ... überträgt jedoch keine Passwörter !!!

Das große Problem bei NFS bis Version 3 ist nun, das der NFS Server einen Mountpoint exportiert und dabei nur nach IP Adressen "filtert"

# /etc/exports
...
/home/user 192.168.1.0/255.255.255.0 (rw,root_squash,sync)
...

In diesem Fall kann jeder Client aus diesem IP Bereich /home/user mounten, die User werden "nur" anhand der UID und GID verwaltet.

Dies bedeutet aber das jeder Rechner aus diesem IP Bereich einen lokalen User mit einer bestimmten ID anlegen kann und dadurch Zugriff auf die Daten auf dem NFS Share bekommt !!!

Bei NFS4 mit Kerberos soll genau dieses nicht mehr möglich sein ...

Ebenso, dass ich keine Installation kenne die NFS4 einsetzt. Selbst an der Uni wo man auf Sicherheit großen Wert lege.
Zudem habe ich keine Pakete für Ssuse 10.1 gesehen

Tja, das mag wohl daran liegen das der NFS Server meist im Kernel integriert ist .. Ich kann nicht sagen seit wann NFS4 drin ist, aber ich habe hier ein SuSE 10.1 mit Kernel 2.6.16 das NFS4 beherrscht ...

Siehe -> cat /proc/fs/nfsd/versions

Für den Wechsel auf NFS4 muss man nur die /etc/exports anpassen, des weiteren ist die Verwendung von NFS4 nicht zwingend an Kerberos gebunden, wobei ohne Kerberos natürlich wichtige Sicherheitsfeatures nicht funktionieren ...

Hier noch ein kleiner Artikel zu NFS -> http://www.linux-magazin.de/heft_abo/sonderheft/2006/04/speicher_mit_anschluss?category=372

oder auch : http://www.no-more-secrets.ch/blog/2007/03/17/debian-etch-und-nfs4-ohne-kerberos/

So long

ThomasF

 

[pospiech]

Die Verschüsselung hab ich als erstes Kriterium wieder verworfen, da alle Linux Dateiexport Lösungen das automounten nicht beherrschen (was windows kann).

Ich hatte es versucht mit einem eigenen Skript:
http://www.matthiaspospiech.de/blog/2007/04/02/local-network-shares-with-linux/

aber auch das kann Mounts die auf nicht mehr existierende Server verweisen nicht unmounten, so dass das Skript nicht funktionieren kann.

Zum Verständnis: Ich habe 4 Rechner die alle nie gleichzeitig eingeschaltet sind (keiner ist permanenter Server), aber von allen möchte ich mounten sobald sie angeschaltet sind, und sobald sie aus sind muss der mount wieder weg sein. Und das Verzeichnis in das gemountet wird muss immer existieren (was autofs ausschließt).

Matthias

 

[ThomasF]

Ok Ok,

mein Post sollte eigentlich nur die Missverständnisse bereinigen zum Thema NFS4

Was das umount angeht ... hast du mal umount -lf ( lazy force ) probiert ... ... damit kann ich selbst Verzeichnisse umounten die "busy" sind *fg*
-l für lazy könnte auch reichen ... du hast bei dir ja nur -f (force)

Ob das für dich und dein Script funktioniert kann ich leider nicht sagen ...

So long

ThomasF