Jetzt hab ichs eeeeendlich gecheckt
Was eine Nacht drüber schlafen alles bewirken kann...
MSfree hat geschrieben: 14.04.2019 12:07:07
Trollkirsche hat geschrieben: 14.04.2019 11:33:40
Bietet NFS nicht auch ein hohes Missbrauchspotential? Nehmen wir an, ich ändere die UID eines Benutzers auf dem Client zu einer UID eines vom Server freigegebenen Ordners.. damit hätte ich doch vollen Zugriff auf das Share?
MSfree hat geschrieben:Das ist schon richtig.
Ok. Zum normalen Gebrauch muss man daher beachten, dass jeder Benutzer eine eindeutige UID auf seinem Client aufweist,damit sich die User nicht in die Quere kommen.
Wenn das stimmt, dann muss man bei NFS immer davon ausgehen, dass alle Gastsysteme, die auf den Server zugreifen, vertrauenswürdig sind.
MSfree hat geschrieben:Auch das ist richtig.
Auf der anderen Seite, was haben Gäste auf deinem NFS zu suchen? Dem Server kannst du in der /etc/exports ja eintragen, welchen Rechnern er vertrauen soll. Schau dir mal die Beispiele an, die man exports liefert.
Ja stimmt schon. Genau aus dem Grunde habe ich eigentlich schon vorher in der /etc/exports Datei nicht den Zugriff vom ganzen Netz gewährt, sondern explizit jeden Host berechtigt. Also soweit mal kein Problem.
MSfree hat geschrieben:Eine Freigabe nach dem Schema:
Ist für jeden (Gast)rechner schreib- und lesbar. Damit hättest du dann das von dir genannte Vetrauensproblem.
Eine Freigabe nachj dem Schema:
Würde dem Rechner "himbeere" (das ist mein Raspberry) nur Leserechte einräumen und andere dürten überhaupt nicht zugreifen.
Zudem habe ich gelesen, dass Daten per NFS unverschlüsselt übertragen werden. Ist das noch aktuell?
Das gilt zumindest bis zur Version NFS3. Samba verschlüsselt ebenfalls nicht, ausser der Übertragung der Benutzernamen und Paßwörter.
NFS4 kann komplett verschlüsseln, ist aber entsprechend umfangreicher zu konfigurieren.
Zumindest besteht die Möglichkeit der Verschlüsselung, wobei wie du sagst, den eigenen Hosts im Netzwerk eh schon vertraut werden sollte. Meine Frage zielte eher auf Unternehmensnetzwerke ab, da wäre eine Verschlüsselung wohl unumgänglich.
Sobald ich etwas Zeit habe, werde ich dies aus Lernzwecken mal implementieren. Zurzeit steht bei mir jedoch erst noch die Migration des Clients von stretch nach buster an, damit ich nfsv4 nutzen kann. Stretch stable erlaubt noch nicht die Nutzung von nfsv4.
Eine weitere Frage die ich noch hätte : Kann man ACLs mit NFS bedenkenlos einsetzen?
Eine andere, weitere Frage bezieht sich auf die öffnung von Ports auf dem Server. Muss ich, wenn ich NFSv4 zu gegebener Zeit einsetze, den Port 2049 öffnen, damit die Geräte miteinander kommunizieren können?
Sobald ich etwas Zeit habe, werde ich dies aus Lernzwecken mal implementieren. Zurzeit steht bei mir jedoch erst noch die Migration des Clients von stretch nach buster an, damit ich nfsv4 nutzen kann. Stretch stable erlaubt noch nicht die Nutzung von nfsv4.
Einen Beitrag hierzu habe ich in einer anderen Sektion bereits eröffnet und du hast ebenfalls ja schon darauf geantwortet.
Vielen Dank nochmal für den äusserst wichtigen Hinweis, dass die Rechte jeweils auf dem Client abgeklärt werden und nicht auf dem Server. Das war für das Verständnis äusserst wichtig.
Ihr alle hier seid mir eine unschätzbar grosse Hilfe. Es ist das, was die Linux Community so einmalig macht und weswegen ich glücklich bin, Debian als System einzusetzen.