Otázka:
Proč vyžaduje připojení sdílené položky nfs z linuxu použití privilegovaného portu?
sds
2014-08-21 08:23:46 UTC
view on stackexchange narkive permalink

Exportuji adresář do linuxového pole a mohu ho připojit z jiného linuxového pole pomocí 

  # mount -t nfs kurush: / media / lynk / mnt / kurush /

Stejný příkaz selže v systému Mac OS X: 

  $ sudo mount -t nfs kurush: / media / lynk / Volumes / lynkmount_nfs: nelze připojit / media / lynk z kurush onto / Volumes / lynk: Operace není povolena

Zároveň kurush: / var / logs / syslog zaznamená tento řádek: 

  rpc.mountd [7943]: ověřený požadavek na připojení od sds-MacBook-Pro.home: 1009 pro / media / lynk (/ media / lynk)

Když se snažím jít přes GUI (finder-> připojit se k serveru-> nfs: // kurush / media / lynk -> připojit), dostanu okamžité selhání (nelze se připojit &c) a linux box syslog zaznamená ověřený požadavek na připojení .

Problém je vyřešen pomocí privilegovaného portu :

Příkazový řádek: 

  sudo mount -o resvport -t nfs kurush: / media / lyn k / Volumes / lynk

Povolení grafického uživatelského rozhraní: 

  sudo vifs

a poté přidejte řádek 

  kurush: / media / lynk / Volumes / lynk nfs resvport, ro, user, noauto

Otázky jsou :

  • Proč musím použít privilegovaný port? Je to něco, co dělám na straně linuxu? Zdá se mi, že si pamatuji, že jsem kdysi připojil tento podíl bez výše zmíněné magie.

  • Jak řeknu MacOSX, aby použil privilegovaný port bez použití příkazového řádku? Myslel jsem, že Apple je pro „netechnický“ dav, takže to musí být možné!

Ahoj. Za normálních okolností uzavřeme otázky, které existují, abychom se zeptali: „Proč Apple udělal X?“ ale zde jsou některé pěkné technické podrobnosti. Vaše otázka může fungovat lépe, pokud ji jednoduše položíte (upravíte) a poté vložíte všechny odpovědi do sekce odpovědí. Pokud se potřebujete zeptat na následnou otázku s vysvětlením, v čem je problém - možná by to mohlo fungovat. Co nakonec uděláte s příběhem „proč“ Apple to tak navrhl?
@bmike: Změnil jsem „proč“ na „jak“.
Jeden odpovědět:
Michael D. M. Dryden
2014-08-22 12:29:30 UTC
view on stackexchange narkive permalink

Proč musíte? Většinou tradice. Kdysi bylo omezení NFS na privilegované porty (<1023) považováno za bezpečnostní opatření. Když lidé používali sálové počítače, bylo zajištěno, že software NFS na straně klienta byl součástí OS / schváleného správcem, protože program může používat privilegovaný port, pouze pokud je spuštěn uživatelem root. Dnes to nedává smysl, protože kdokoli může vlastnit počítač a mít přístup root, takže to z hlediska bezpečnosti nic neznamená.

Ve výchozím nastavení mnoho serverů NFS nepovoluje neoprávněný zdroj porty. Někteří klienti NFS (například Ubuntu) používají výchozí privilegovaný zdrojový port, pokud není uvedeno jinak, a proto váš klient Linux bez problémů funguje. Je zřejmé, že klient OS X to nedělá. Nevím, jestli to byla volba designu Apple nebo něco zděděného od BSD. Vím, že Solaris také implicitně používá neprivilegovaný port.

Dva způsoby, jak se tomuto problému vyhnout, jsou: říct klientovi OS X, aby použil privilegovaný port, jak jste zjistili, nebo nakonfigurovat server NFS na povolit neprivilegované porty (vyhledejte to v dokumentaci k vašemu serveru).

Jak dosáhnete, aby OS X používal privilegovaný port pomocí grafického uživatelského rozhraní? Pokud vím, nemůžete na verzích> 10.6. Jeden býval schopen připojit sdílení NFS v Disk Utility a psát další možnosti, ale to bylo odstraněno. ( Podrobnosti) Nikdy to nebylo jednoduché tlačítko nebo tak něco. NFS sotva něco, co většina „netechnických“ lidí potřebuje, takže myslím, že to nebyla priorita a že existují důvody, proč rutinní používání privilegovaných portů není skvělý nápad.

Nemám zkusil to, ale zdá se, že http://www.bresink.com/osx/NFSManager.html umožňuje konfiguraci funkcí NFS OS X bez příkazového řádku.

O „nebo o konfiguraci serveru NFS tak, aby umožňoval neprivilegované porty“: pro * nfs-kernel-server * jsou to možnosti „nezabezpečené“ v `/ etc / export`.Například: `/ media / sda3 192.168.1.0/24 (rw, async, no_subtree_check, insecure)`
díky, nezabezpečené umožňuje Macu připojit se k NFS pomocí Finderu -> Přejít -> Připojit k serveru
Jedná se o aktivní bezpečnostní problém dnešních systémů, obvykle v rámci intranetu, nikoli přes internet.Vzhledem k tomu, že systémy mají tendenci připojovat sdílené položky NFS v systému souborů, existuje velký prostor pro zneužití.Vyžadování privilegovaných portů stále brání uživatelům v manipulaci se systémem souborů, když by neměli.Samozřejmě pokud má uživatel root už to nevadí.


Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...