« NFS » : différence entre les versions
m (→Introduction) |
Aucun résumé des modifications |
||
(13 versions intermédiaires par 9 utilisateurs non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
= Installation d'un serveur NFS = | = Installation d'un serveur NFS = | ||
Ligne 11 : | Ligne 10 : | ||
'''ATTENTION !''' | '''ATTENTION !''' | ||
Comme toute application réseau, NFS ouvre des trous dans la sécurité du système. Je vous invite donc à consulter les liens à la fin de cet article pour des précisions sur la sécurité ([http://www.linuxselfhelp.com/HOWTO/NFS-HOWTO/security.html celui-ci], en anglais, indique quelques règles à suivre). <br /> | Comme toute application réseau, NFS ouvre des trous dans la sécurité du système. Je vous invite donc à consulter les liens à la fin de cet article pour des précisions sur la sécurité ([http://www.linuxselfhelp.com/HOWTO/NFS-HOWTO/security.html celui-ci], en anglais, indique quelques règles à suivre, en parallèle des démarches indiquées [http://people.via.ecp.fr/~alexis/formation-linux/nfs.html dans ce guide nfs pour Debian] ou ci-dessous). <br /> | ||
== Les softs == | == Les softs == | ||
Ligne 21 : | Ligne 20 : | ||
* <u>Pour le client:</u> | * <u>Pour le client:</u> | ||
<br /><tt>NFS file system support et Provide NFSv3 client support</tt> | <br /><tt>NFS file system support et Provide NFSv3 client support</tt> | ||
CONFIG_NFS_FS=y ou m | |||
CONFIG_NFS_V3=y | |||
* <u>Pour le serveur:</u> | * <u>Pour le serveur:</u> | ||
<br /><tt>NFS server support et Provide NFSv3 server support</tt> | <br /><tt>NFS server support et Provide NFSv3 server support</tt> | ||
CONFIG_NFSD=y ou m | |||
CONFIG_NFSD_V3=y | |||
À partir du noyau 2.2.18, les modules supportent entièrement la version 3 du protocole ainsi que différentes corrections de bug. <br />Il serait temps d'upgrader si tu ne l'as pas déjà fait! (profites-en pour passer au 2.4, ce sera réglé :) | À partir du noyau 2.2.18, les modules supportent entièrement la version 3 du protocole ainsi que différentes corrections de bug. <br />Il serait temps d'upgrader si tu ne l'as pas déjà fait! (profites-en pour passer au 2.4, ce sera réglé :) | ||
Ligne 49 : | Ligne 48 : | ||
Le fichier <tt>/etc/exports</tt> est très simple : | Le fichier <tt>/etc/exports</tt> est très simple : | ||
<div class="code">répertoire machine1(option11,option12) machine2(option21,option22)</div> | |||
par exemple : | par exemple : | ||
<div class="code">/home 192.168.0.10(rw) 192.168.0.25(ro)</div> | |||
signifie que l'on autorisera la machine ''192.168.0.10'' à accéder à notre répertoire <tt>/home</tt> en lecture et écriture (<tt>rw</tt>) ainsi que la machine ''192.168.0.25'' mais uniquement en lecture (<tt>ro</tt>). | signifie que l'on autorisera la machine ''192.168.0.10'' à accéder à notre répertoire <tt>/home</tt> en lecture et écriture (<tt>rw</tt>) ainsi que la machine ''192.168.0.25'' mais uniquement en lecture (<tt>ro</tt>). | ||
Ligne 67 : | Ligne 66 : | ||
Un point important, pour un bon fonctionnement : tu dois avoir les mêmes numéros de groupes et d'utilisateurs sur les deux machines. <br />Des systèmes permettent de gérer çà, NIS (assez ancien) ou LDAP (plus récent). Avec peu d'utilisateurs, tu peux tout simplement éditer <tt>/etc/group</tt> et <tt>/etc/passwd</tt> pour synchroniser ces numéros. | Un point important, pour un bon fonctionnement : tu dois avoir les mêmes numéros de groupes et d'utilisateurs sur les deux machines. <br />Des systèmes permettent de gérer çà, NIS (assez ancien) ou LDAP (plus récent). Avec peu d'utilisateurs, tu peux tout simplement éditer <tt>/etc/group</tt> et <tt>/etc/passwd</tt> pour synchroniser ces numéros. | ||
Il n'est pas recommandé d'exporter un système DOS ou VFAT à cause de leurs absences de gestion multi-utilisateurs ; ils ne sont pas fait pour être partagés avec NFS. <br /> | Il n'est pas recommandé d'exporter un système DOS ou VFAT à cause de leurs absences de gestion multi-utilisateurs ; ils ne sont pas fait pour être partagés avec NFS. <br /> | ||
=== /etc/hosts.deny === | === /etc/hosts.deny === | ||
On va interdire toutes les machines qui ne sont pas autorisées explicitement dans le <tt>/etc/hosts. | On va interdire toutes les machines qui ne sont pas autorisées explicitement dans le <tt>/etc/hosts.deny</tt>. <br />Un bon vieux "<tt>ALL: ALL</tt>" interdira l'accès à tous les services à partir de toutes les machines. On peut cependant être plus précis en écrivant : | ||
portmap:ALL | portmap:ALL | ||
Ligne 78 : | Ligne 77 : | ||
rquotad:ALL | rquotad:ALL | ||
statd:ALL | statd:ALL | ||
=== /etc/hosts.allow === | === /etc/hosts.allow === | ||
Dans le même esprit que pour le <tt>/etc/hosts. | Dans le même esprit que pour le <tt>/etc/hosts.allow</tt>, ce fichier a l'architecture suivante : | ||
[service]: [IP de la machine client] | |||
Donc pour autoriser 192.168.1.34 à se connecter à un partage NFS, on écrira : | Donc pour autoriser 192.168.1.34 à se connecter à un partage NFS, on écrira : | ||
portmap:192.168.1.34 | |||
lockd:192.168.1.34 | |||
mountd:192.168.1.34 | |||
rquotad:192.168.1.34 | |||
statd:192.168.1.34 | |||
On va pouvoir lancer les services ; sur ma Debian, je lance : | On va pouvoir lancer les services ; sur ma Debian, je lance : | ||
< | <div class="code"># /etc/init.d/nfs-server start</div> | ||
Pour Slackware, ce serait | |||
<div class="code"># /etc/rc.d/rc.nfsd start</div> | |||
La commande <tt>rpcinfo -p</tt> permet de vérifier que les services fonctionnent. Elle devrait produire un résultat dans cet esprit : | La commande <tt>rpcinfo -p</tt> permet de vérifier que les services fonctionnent. Elle devrait produire un résultat dans cet esprit : | ||
<div class="code"> cacahuete:~# rpcinfo -p | |||
program vers proto port | |||
100000 2 tcp 111 portmapper | |||
100000 2 udp 111 portmapper | |||
100024 1 udp 737 status | |||
100024 1 tcp 739 status | |||
100011 1 udp 851 rquotad | |||
100011 2 udp 851 rquotad | |||
100003 2 udp 2049 nfs | |||
100003 2 tcp 2049 nfs | |||
100005 1 udp 872 mountd | |||
100005 2 udp 872 mountd | |||
100005 1 tcp 875 mountd | |||
100005 2 tcp 875 mountd | |||
cacahuete:~# | cacahuete:~# | ||
</div> | |||
Pour recharger les services NFS (par exemple après une modification du fichier de config) : | Pour recharger les services NFS (par exemple après une modification du fichier de config) : | ||
<div class="code"> cacahuete:~# killall -HUP nfsd | |||
</div> | |||
le serveur est prêt ! <br /> | le serveur est prêt ! <br /> | ||
== Le client == | == Le client == | ||
Ligne 127 : | Ligne 130 : | ||
Pour utiliser NFS v3, il faut au minimum la version 2.10m du programme <tt>mount</tt>. Pour voir sa version, taper : | Pour utiliser NFS v3, il faut au minimum la version 2.10m du programme <tt>mount</tt>. Pour voir sa version, taper : | ||
<div class="code"> cacahuete:~# mount -V | |||
mount: mount-2.11h | mount: mount-2.11h | ||
cacahuete:~# | cacahuete:~# | ||
</div> | |||
On va maintenant pouvoir monter notre partage! | On va maintenant pouvoir monter notre partage! | ||
<div class="code"> cacahuete:~# mount mon.serveur.nfs:/home /mnt/home | |||
cacahuete:~# | cacahuete:~# | ||
</div> | |||
Avec la version 4 de NFS, il faut utiliser la commande spécifique '''mount.nfs''' ainsi: | |||
<div class="code">cacahuete:~# mount.nfs adresse_IP_serveur:/home /mnt/home | |||
cacahuete:~# | |||
</div> | |||
En principe tout devrait bien se dérouler. | En principe tout devrait bien se dérouler. | ||
Ligne 140 : | Ligne 150 : | ||
Pour monter ce partage définitivement à chaque démarrage de la machine, éditons notre <tt>/etc/fstab</tt><nowiki>: </nowiki> | Pour monter ce partage définitivement à chaque démarrage de la machine, éditons notre <tt>/etc/fstab</tt><nowiki>: </nowiki> | ||
< | |||
<div class="code"># device mountpoint fs-type options dump fsckorder | |||
... | ... | ||
master.foo.com:/ | master.foo.com:/home /mnt nfs rw 0 0 | ||
...</ | ...</div> | ||
'mount' possède quelques options spécifiques au nfs, et qui peuvent s'avérer utiles : | |||
* '''tcp''' : permet de préciser qu'on ne travaille qu'en TCP | |||
* '''rsize=XXX''' et '''wsize=XXX''' : permet de modifier la taille par défaut (1024) du buffer. Une taille de 8192 par exemple permet d'accélerer le transfert. | |||
* '''soft''' et '''timeo=XXX''': sur un problème de transmission, le client peut perdre la connection. Le noyau continuera d'essayer ad vitam eternam. Les processus risquent de se retrouver dans un état D (ininterruptible sleep) que seul un reboot permet de résoudre. L'option '''soft''' dit au noyau d'abandonner au bout d'un certain temps, et l'option '''timeo''' permet de définir le timeout. | |||
== Sécuriser le NFS == | |||
Les données transitent en clair sur le réseau, néanmoins il est possible de crypter les échange grâce au ''port forwarding'' de ssh. | |||
La mise en place de la cryptographie se fait en deux parties : une partie sur le serveur, une partie sur le client. | |||
=== Configuration du serveur === | |||
Nous avons besoin de connaître et/ou de définir le port tcp utilisé par mountd. Un petit <div class="code">rpcinfo -p</div> permettra de savoir quel port est utilisé par mountd. On peut définir celui-ci via l'option ''-d'' lors du lancement du service. Dans notre exemple, il s'agit du port 875. | |||
Il faut également rajouter l'option ''insecure'' pour les machines/réseaux concernés dans <tt>/etc/exports</tt>. Cette option permet seulement de pouvoir atteindre le serveur via un port > 1024 (ce que nous allons faire). | |||
=== Configuration du client === | |||
Nous avons besoin de deux ports libres, par exemple 38000 et 38001 pour créer un tunnel sécurisé entre le client et le serveur : | |||
<div class="code">ssh -f -L38000:serveur:2049 -L38001:serveur:875 -l root serveur sleep 60</div> | |||
L'utilisation de l'utilisateur root est nécessaire car on va travailler avec un port < 1024. La mise en place d'une authentification par clé peut être dans ce cas très intéressante. | |||
Avec cette commande nous venons de créer un tunnel chiffré entre le port 38000 (resp. 38001) de notre client et le 2049 (resp. 875) du serveur. | |||
La commande 'sleep 60' fait tomber le tunnel sécurisé au bout de 60 secondes si celui-ci n'est pas utilisé. | |||
Il ne reste plus qu'à monter le partage! Le fait d'utiliser un tunnel ssh implique que nous allons utiliser exclusivement une connection tcp. | |||
Pour monter le partage : | |||
<div class="code">mount -t nfs -o tcp,rw,port=38000,mountport=38001,soft,timeo=60 localhost:/repertoire /mnt/nfs</div> | |||
Cette commande permet de monter serveur:/repertoire dans /mnt/nfs. Il faut bien utiliser localhost:/repertoire pour monter le partage. C'est justement cela qui va permettre d'utiliser la connexion sécurisée. | |||
On peut également rajouter cette ligne dans le /etc/fstab : | |||
<div class="code"># device mountpoint fs-type options dump fsckorder | |||
... | |||
localhost:/home /mnt nfs tcp,rw,port=38000,mountport=38001,soft,timeo=60 0 0 | |||
...</div> | |||
== Liens == | == Liens == | ||
Ligne 154 : | Ligne 201 : | ||
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto] | * [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto] | ||
* Va te faire peur sur [http://www.securityfocus.com/ security focus] | * Va te faire peur sur [http://www.securityfocus.com/ security focus] | ||
=Autres ressources= | |||
* Cet article est principalement basé sur le [http://nfs.sourceforge.net/nfs-howto/ NFS howto] | |||
* Les sources des logiciels NFS sur http://nfs.sourceforge.net/ | |||
* [http://en.tldp.org/HOWTO/LDAP-HOWTO/ LDAP howto] | |||
* [http://www.linuxdoc.org/HOWTO/NIS-HOWTO.html NIS howto] | |||
* Va te faire peur sur [http://www.securityfocus.com/ security focus] | |||
<br/> | |||
<br/> | |||
'''<b>[[Réseau|@ Retour à la rubrique Réseau]]</b>''' | |||
<br/> | |||
<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Guillaume Pierronnet le 22/10/2001.</div> | <div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Guillaume Pierronnet le 22/10/2001.</div> | ||
= Copyright = | = Copyright = | ||
Copyright © 22/10/2001, Guillaume Pierronnet | Copyright © 22/10/2001, Guillaume Pierronnet - 2006 Oudoubah | ||
{{CC-BY-NC-SA}} | {{CC-BY-NC-SA}} | ||
[[Catégorie:Réseau]] | |||
Dernière version du 16 décembre 2023 à 16:50
Installation d'un serveur NFS
Introduction
NFS signifie Network File System. C'est, comme son nom l'indique, un système de fichiers en réseau qui permet de partager ses données principalement entre systèmes UNIX. À la différence de SAMBA, NFS gère les permissions sur les fichiers et on peut donc l'utiliser de manière totalement transparente dans son arborescence Linux.
ATTENTION !
Comme toute application réseau, NFS ouvre des trous dans la sécurité du système. Je vous invite donc à consulter les liens à la fin de cet article pour des précisions sur la sécurité (celui-ci, en anglais, indique quelques règles à suivre, en parallèle des démarches indiquées dans ce guide nfs pour Debian ou ci-dessous).
Les softs
Les modules du noyau
Dans la configuration du noyau, on va dans la section "File systems ---> Network File Systems"
- Pour le client:
NFS file system support et Provide NFSv3 client support
CONFIG_NFS_FS=y ou m CONFIG_NFS_V3=y
- Pour le serveur:
NFS server support et Provide NFSv3 server support
CONFIG_NFSD=y ou m CONFIG_NFSD_V3=y
À partir du noyau 2.2.18, les modules supportent entièrement la version 3 du protocole ainsi que différentes corrections de bug.
Il serait temps d'upgrader si tu ne l'as pas déjà fait! (profites-en pour passer au 2.4, ce sera réglé :)
Les packages
Les packages (sur ma Debian) sont :
- nfs-common
- nfs-user-server pour le serveur.
Tu peux toujours récupérer les sources qui se trouvent sur http://nfs.sourceforge.net/.
On va aussi installer le wrapper TCP pour un minimum de sécurité. Toujours sur ma Debian, le paquet s'appelle tcpd. Les sources se trouvent ici.
Le serveur
Les 3 fichiers de configuration principaux sont /etc/exports, /etc/hosts.deny et /etc/hosts.allow.
/etc/exports
Le fichier /etc/exports est très simple :
par exemple :
signifie que l'on autorisera la machine 192.168.0.10 à accéder à notre répertoire /home en lecture et écriture (rw) ainsi que la machine 192.168.0.25 mais uniquement en lecture (ro).
- répertoire :
le répertoire du serveur à partager. - machine :
Une liste de machines séparée par des virgules et autorisées à monter ce répertoire (utilisez des adresses IP plutôt que des noms à cause des problèmes de "dns spoofing"). - options :
- ro :
C'est la valeur par défaut, lecture seule. - rw :
La machine à un accès en lecture/écriture au répertoire. - no_root_squash :
Les accès par l'utilisateur root sur le serveur se font sous l'identité root, au contraire de nobody (par défaut)
À UTILISER AVEC PRÉCAUTION - sync : uniquement NFS v2
Ne diffère pas les écritures physiques au volume, augmente la fiabilité en cas de mauvais démontage. La version 3 dispose d'un mécanisme de commit-rollback donc cette option n'est pas utile.
- ro :
Un point important, pour un bon fonctionnement : tu dois avoir les mêmes numéros de groupes et d'utilisateurs sur les deux machines.
Des systèmes permettent de gérer çà, NIS (assez ancien) ou LDAP (plus récent). Avec peu d'utilisateurs, tu peux tout simplement éditer /etc/group et /etc/passwd pour synchroniser ces numéros.
Il n'est pas recommandé d'exporter un système DOS ou VFAT à cause de leurs absences de gestion multi-utilisateurs ; ils ne sont pas fait pour être partagés avec NFS.
/etc/hosts.deny
On va interdire toutes les machines qui ne sont pas autorisées explicitement dans le /etc/hosts.deny.
Un bon vieux "ALL: ALL" interdira l'accès à tous les services à partir de toutes les machines. On peut cependant être plus précis en écrivant :
portmap:ALL lockd:ALL mountd:ALL rquotad:ALL statd:ALL
/etc/hosts.allow
Dans le même esprit que pour le /etc/hosts.allow, ce fichier a l'architecture suivante :
[service]: [IP de la machine client]
Donc pour autoriser 192.168.1.34 à se connecter à un partage NFS, on écrira :
portmap:192.168.1.34 lockd:192.168.1.34 mountd:192.168.1.34 rquotad:192.168.1.34 statd:192.168.1.34
On va pouvoir lancer les services ; sur ma Debian, je lance :
Pour Slackware, ce serait
La commande rpcinfo -p permet de vérifier que les services fonctionnent. Elle devrait produire un résultat dans cet esprit :
program vers proto port 100000 2 tcp 111 portmapper 100000 2 udp 111 portmapper 100024 1 udp 737 status 100024 1 tcp 739 status 100011 1 udp 851 rquotad 100011 2 udp 851 rquotad 100003 2 udp 2049 nfs 100003 2 tcp 2049 nfs 100005 1 udp 872 mountd 100005 2 udp 872 mountd 100005 1 tcp 875 mountd 100005 2 tcp 875 mountd cacahuete:~#
Pour recharger les services NFS (par exemple après une modification du fichier de config) :
le serveur est prêt !
Le client
Pour utiliser NFS v3, il faut au minimum la version 2.10m du programme mount. Pour voir sa version, taper :
mount: mount-2.11h cacahuete:~#
On va maintenant pouvoir monter notre partage!
cacahuete:~#
Avec la version 4 de NFS, il faut utiliser la commande spécifique mount.nfs ainsi:
cacahuete:~#
En principe tout devrait bien se dérouler.
Pour monter ce partage définitivement à chaque démarrage de la machine, éditons notre /etc/fstab:
... master.foo.com:/home /mnt nfs rw 0 0...
'mount' possède quelques options spécifiques au nfs, et qui peuvent s'avérer utiles :
- tcp : permet de préciser qu'on ne travaille qu'en TCP
- rsize=XXX et wsize=XXX : permet de modifier la taille par défaut (1024) du buffer. Une taille de 8192 par exemple permet d'accélerer le transfert.
- soft et timeo=XXX: sur un problème de transmission, le client peut perdre la connection. Le noyau continuera d'essayer ad vitam eternam. Les processus risquent de se retrouver dans un état D (ininterruptible sleep) que seul un reboot permet de résoudre. L'option soft dit au noyau d'abandonner au bout d'un certain temps, et l'option timeo permet de définir le timeout.
Sécuriser le NFS
Les données transitent en clair sur le réseau, néanmoins il est possible de crypter les échange grâce au port forwarding de ssh. La mise en place de la cryptographie se fait en deux parties : une partie sur le serveur, une partie sur le client.
Configuration du serveur
Nous avons besoin de connaître et/ou de définir le port tcp utilisé par mountd. Un petit
permettra de savoir quel port est utilisé par mountd. On peut définir celui-ci via l'option -d lors du lancement du service. Dans notre exemple, il s'agit du port 875.
Il faut également rajouter l'option insecure pour les machines/réseaux concernés dans /etc/exports. Cette option permet seulement de pouvoir atteindre le serveur via un port > 1024 (ce que nous allons faire).
Configuration du client
Nous avons besoin de deux ports libres, par exemple 38000 et 38001 pour créer un tunnel sécurisé entre le client et le serveur :
L'utilisation de l'utilisateur root est nécessaire car on va travailler avec un port < 1024. La mise en place d'une authentification par clé peut être dans ce cas très intéressante. Avec cette commande nous venons de créer un tunnel chiffré entre le port 38000 (resp. 38001) de notre client et le 2049 (resp. 875) du serveur. La commande 'sleep 60' fait tomber le tunnel sécurisé au bout de 60 secondes si celui-ci n'est pas utilisé. Il ne reste plus qu'à monter le partage! Le fait d'utiliser un tunnel ssh implique que nous allons utiliser exclusivement une connection tcp. Pour monter le partage :
Cette commande permet de monter serveur:/repertoire dans /mnt/nfs. Il faut bien utiliser localhost:/repertoire pour monter le partage. C'est justement cela qui va permettre d'utiliser la connexion sécurisée.
On peut également rajouter cette ligne dans le /etc/fstab :
... localhost:/home /mnt nfs tcp,rw,port=38000,mountport=38001,soft,timeo=60 0 0...
Liens
- Cet article est principalement basé sur le NFS howto
- Les sources des logiciels NFS sur http://nfs.sourceforge.net/
- LDAP howto
- NIS howto
- Va te faire peur sur security focus
Autres ressources
- Cet article est principalement basé sur le NFS howto
- Les sources des logiciels NFS sur http://nfs.sourceforge.net/
- LDAP howto
- NIS howto
- Va te faire peur sur security focus
Copyright
Copyright © 22/10/2001, Guillaume Pierronnet - 2006 Oudoubah
Ce document est publié sous licence Creative Commons Attribution, Partage à l'identique, Contexte non commercial 2.0 : http://creativecommons.org/licenses/by-nc-sa/2.0/fr/ |