[linux] Re: nfs en root issue

Hugo van der Kooij hvdkooij op vanderkooij.org
Za Nov 22 21:16:00 CET 2008 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Martijn van Oosterhout wrote:
> On Sat, Nov 22, 2008 at 10:16:45AM -0800, lucas merckelbach wrote:
>> De reden die genoemd wordt is, omdat je een root password hebt van de box die je beheert, je dan 
>> automatisch root access hebt op het NFS en dus toegang zou hebben tot de directories van iedereen
>> inclusief schrijfrechten. Ik ben hier erg vebaasd over, omdat dat volgens mij het hele bestaansrecht van 
>> nfs zou ondermijnen. Ik heb het een en ander gegoogled hierover, maar kon niet echt iets vinden
>> dat iets noemt met dezelfde strekking, hetgeen mij meer het idee geeft dat het flauwekul is.
>> Ik kan het ook niet testen, tenminste niet zonder mijzelf ongeoorloofd toegang te geven tot een
>> IT beheerde box middels een live disk oid.
> Het is waar dat als jij root hebt op een systeem meet een NFS mount,
> dat normaal heb je dan root rechten op de server. Dit komt omdat de UID
> van de gebruikers op de machine gewoon worden overgenomen op de server.
> 
> Maar er zijn hier natuurlijk dingen op gevonden. Het eerste is
> root_squash. Deze setting op de server geeft aan dat als een client
> beweert dat hij root is, behandel je hem als anonymous. Dit is vrij
> normaal, al is dat niet mogelijk als je NFS als root filesystems hebt.
> Verder heb je ook all_squash.
> 
> Verder bestaan er dingen als UID/GID mapping server zodat de
> gebruikersnaam uitmaakt, niet de UID zelf. Dat is in Linux niet normaal
> gedaan.
> 
> Er is een reder waarom NFS niet zo vaak gebruikt wordt, de user
> management is een ervan.

YP en NIS waren daar het antwoord op.

Maar het NFS concept is gebouwd door SUN met daarin het concept dat alle
machines met NFS onder gezamenlijk beheer staan.

Het is goed mogelijk dat men onvoldoende op de hoogte is van de
vernieuwingen in NFS waarin getracht is wat te doen aan onderhavige zaken.

Root squash is leuk. Maar als ik weet dat mijn UID 1234 is op de NFS
server dan zou ik eens kunnen kijken wat UID 1235 aan informatie heeft
door die UID te gebruiken.

NFS is niet echt geschikt voor systemen die niet onder centraal beheer
staan.

Hugo.


- --
hvdkooij op vanderkooij.org               http://hugo.vanderkooij.org/
PGP/GPG? Use: http://hugo.vanderkooij.org/0x58F19981.asc

	A: Yes.
	>Q: Are you sure?
	>>A: Because it reverses the logical flow of conversation.
	>>>Q: Why is top posting frowned upon?

Bored? Click on http://spamornot.org/ and rate those images.

Nid wyf yn y swyddfa ar hyn o bryd. Anfonwch unrhyw waith i'w gyfieithu.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org

iD8DBQFJKGh/BvzDRVjxmYERAirBAJ9nbYmpplRT7HeVyC+xhFavRP45gwCfSBpn
hRrw8e+9sW/pjUM4T1R6uas=
=7TJC
-----END PGP SIGNATURE-----

More information about the Linux mailing list