...
(подробности по возможностям команды см. man exportfs)
Безопасный экспорт разделяемых ресурсов
- Современная версия протокола NFSv4 способна шифровать всю передаваемую по сети информацию с помощью Kerberos.
Поэтому важно, чтобы эта служба была правильно настроена, если она находится за брандмауэром или в сегментированной сети.
Версии NFSv2 и NFSv3 по-прежнему передают незащищённые данные. - Сервер NFS определяет, какие файловые системы экспортировать и какие узлы получат к ним доступ с помощью файла /etc/exports.
Будьте внимательны и не добавляйте лишних пробелов, редактируя этот файл.
Например, следующая строка в файле /etc/exports предоставляет каталог /tmp/nfs/ для чтения/записи с компьютера master.astralinux.ru.
Информация |
---|
/tmp/nfs/ master.astralinux.ru(rw) |
А эта строка файла/etc/exports, напротив, определяет для того же каталога компьютеру master.astralinux.ru
разрешение только на чтение, а всем остальным разрешает не только чтение, но и запись
Отличие состоит всего в одном пробеле после имени компьютера:
Предупреждение |
---|
/tmp/nfs/ master.astralinux.ru (rw) |
Чтобы избежать подобных ошибок,
Предупреждение |
---|
проверяйте все настроенные общие ресурсы NFS с помощью команды showmount: showmount -e <hostname> |
- Не используйте параметр no_root_squash. По умолчанию, в общих ресурсах NFS пользователь root становится обычным пользователем nfsnobody.
Таким образом, владельцем всех файлов, созданных root, становится nfsnobody, что предотвращает загрузку на сервер программ с установленным битом setuid.
Если указан параметр no_root_squash, удалённые пользователи root могут изменить любой файл в разделяемой файловой системе и оставить для других пользователей троянские приложения.
Настройка клиента
После установки клиентского пакета nfs-common, на компьютере - клиенте следует примонтировать разделяемые ресурсы.
...