[ Pobierz całość w formacie PDF ]
.Niektóre wartoSci tych znaczników to:secureTen znacznik powoduje, ¿e ¿¹danie musi pochodziæ z zarezerwowanego portuxród³owego, tzn.o wartoSci mniejszej ni¿ 1024.Znacznik ten jest ustawiony do-mySlnie.insecureTen znacznik dzia³a odwrotnie ni¿ znacznik secure.roTen znacznik powoduje, ¿e wolumen NFS jest montowany jako przeznaczonytylko do odczytu.Znacznik jest ustawiony domySlnie.rwTa opcja montuje pliki do odczytu i zapisu.root_squashTa funkcja, zwi¹zana z bezpieczeñstwem, odmawia u¿ytkownikom uprzywile-jowanym na zadanych hostach specjalnych praw dostêpu przez odwzorowanie¿¹dañ z uid 0 po stronie klienta na uid 65534 (tzn. 2) po stronie serwera.Ta war-toSæ uid powinna byæ zwi¹zana z u¿ytkownikiem nobody.no_root_squashNie odwzorowuje ¿¹dañ z uid 0.Ta opcja jest ustawiona domySlnie, a wiêc u¿yt-kownicy uprzywilejowani maj¹ nieograniczony dostêp do wyeksportowanych ka-talogów systemu.link_relativeTa opcja zamienia bezwzglêdne dowi¹zania symboliczne (gdzie dowi¹zania roz-poczynaj¹ siê od ukoSnika) na dowi¹zania wzglêdne.Ta opcja ma sens tylko wte-dy, gdy zamontowany jest ca³y system plików hosta.W przeciwnym razie ni-ektóre dowi¹zania mog¹ wskazywaæ donik¹d lub co gorsza, na pliki, którychnigdy nie mia³y wskazywaæ.Ta opcja jest domySlnie w³¹czona.link_absoluteTa opcja pozostawia dowi¹zania symboliczne bez zmian (normalne zachowanieserwerów NFS firmy Sun).map_identityTa opcja mówi serwerowi, by zak³ada³, ¿e klient u¿ywa tych samych wartoSci uidi gid co serwer.Ta opcja jest ustawiona domySlnie.map_daemonTa opcja mówi serwerowi NFS, by zak³ada³, ¿e klient i serwer nie wspó³dziel¹ tejsamej przestrzeni uid/gid.Dlatego rpc.nfsd tworzy listê, która odwzorowuje ID250 Rozdzia³ 14: Sieciowy system plikówpomiêdzy klientem a serwerem, zadaj¹c zapytania demonowi rpc.ugidd na ma-szynie klienta.map_staticTa opcja pozwala na podanie nazwy pliku, który zawiera statyczne odwzorowa-nie wartoSci uid i gid.Na przyk³admap_static=/etc/nfs/vlight.mapwskazywa³by plik /etc/nfs/vlight.map jako plik zawieraj¹cy odwzorowaniauid/gid.Sk³adnia pliku odwzorowañ jest opisana na stronie podrêcznika elektro-nicznego exports(5).maps_nisTa opcja powoduje, ¿e serwer NIS-a realizuje odwzorowania uid i gid.anonuid i anongidTe opcje pozwalaj¹ na okreSlenie uid i gid kont anonimowych.Jest to przydatne,je¿eli masz publicznie wyeksportowany wolumen.Wszelkie b³êdy przy analizie sk³adniowej pliku exports s¹ zg³aszane do funkcjidaemonsysloga na poziomienotice, o ile s¹ uruchomione demony rpc.nfsd i rpc.mo-untd.Zauwa¿, ¿e nazwy hostów s¹ uzyskiwane na podstawie adresów IP klienta przezodwzorowanie odwrotne, a wiêc resolver musi byæ odpowiednio skonfigurowany.Je¿eli u¿ywasz BIND i jesteS Swiadomy problemów zwi¹zanych z bezpieczeñst-wem, powinieneS w³¹czyæ w swoim pliku host.conf sprawdzanie podszywania siê.Te tematy omawiamy w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.Serwer NFSv2 oparty na j¹drzeTradycyjnie u¿ywany w Linuksie serwer NFS dzia³aj¹cy w przestrzeni u¿ytkownikajest niezawodny, ale sprawia problemy wydajnoSciowe, je¿eli jest przeci¹¿ony.Dzieje siê tak g³Ã³wnie ze wzglêdu na obci¹¿enie wnoszone przez interfejs wywo³añsystemowych, ale te¿ dlatego, ¿e musi on dzieliæ czas z innymi, potencjalnie mniejistotnymi procesami dzia³aj¹cymi w przestrzeni u¿ytkownika.J¹dro 2.2.0 obs³uguje ekperymentalny serwer NFS oparty na j¹drze, stworzonyprzez Olafa Kircha i dalej rozwijany przez H.J.Lu, G.Allana Morrisa i Tronda My-klebusta.Serwer NFS oparty na j¹drze daje zdecydowan¹ poprawê wydajnoSci.W obecnych dystrybucjach mo¿esz znalexæ narzêdzia serwera w postaci pakietów.Je-¿eli ich tam nie ma, mo¿esz je znalexæ pod adresem http://csua.berkeley.edu/~gam3/knfsd/.Aby u¿ywaæ tych narzêdzi, musisz skompilowaæ j¹dro 2.2.0 z demonem NFS opartymna j¹drze.Mo¿esz upewniæ siê, czy twoje j¹dro ma wbudowanego demona NFS, spraw-dzaj¹c, czy istnieje plik /proc/sys/sunrpc/nfsd_debug.Je¿eli go nie ma, mo¿esz za³adowaæmodu³ rpc.nfsd, u¿ywaj¹c narzêdzia modprobe.Demon NFS oparty na j¹drze wykorzystuje standardowy plik konfiguracyjny/etc/exports.Pakiet zawiera zastêpcze wersje demonów rpc.mountd i rpc
[ Pobierz całość w formacie PDF ]