/etc/exports
, viser kataloger som er gjort tilgjengelig via nettverket (exported). For hver NFS deling, er det bare den gitte listen over maskiner som får tilgang. Mer finkornet adgangskontroll kan oppnås med et par alternativer. Syntaksen for denne filen er ganske enkel:
/directory/to/share machine1(option1,option2,...) machine2(...) ...
fsid=0
eller fsid=root
.
*.falcot.com
eller et IP-adresseområde som 192.168.0.0/255.255.255.0
eller 192.168.0.0/24
.
rw
-valget). rw
-valget tillater lese- og skriveadgang. NFS-klienten kobler vanligvis til fra en port forbeholdt rot (med andre ord, under 1024). Denne begrensningen kan oppheves av insecure
-valget, (secure
-alternativet er implisitt, men kan gjøres eksplisitt hvis det er nødvendig for klarhetens skyld).
sync
-valget); Dette kan oppheves med async
-valget. Asynchronous innskriving øker ytelsen litt, men de reduserer påliteligheten siden det er en risiko for tap av data i tilfelle tjeneren krasjer mellom godkjenningen av innskrivingen og den faktiske innskrivingen på disken. Siden standardverdien nettopp ble endret (i forhold til den historiske verdien av NFS), er en eksplisitt innstilling å anbefale.
nobody
-brukeren. Dette samsvarer med root_squash
-alternativet, og er aktivert som standard. no_root_squash
-alternativet, som deaktiverer denne atferden, er risikabel og bør bare brukes i kontrollerte omgivelser. anonuid=uid
og anongid=gid
-alternativene tillater å spesifisere en annen falsk bruker til å bli brukt i stedet for UID/GID 65534 (som tilsvarer bruker nobody
and group nogroup
).
sec
-valg for å indikere det sikkerhetsnivået du ønsker: sec=sys
er som standard uten noen sikkerhetsegenskaper, sec=krb5
aktiverer bare autentisering, sec=krb5i
legger til integritetsbeskyttelse, og sec=krb5p
er det mest komplette nivået, og inkluderer personvern (med datakryptering). For at dette skal virke, trenger du et Kerberos oppsett som virker (den tjenesten er ikke dekket i denne boken).
mount
-kommandoen og i /etc/fstab
-filen.
Eksempel 11.22. Å montore manuelt med mount
-kommandoen
#
mount -t nfs4 -o rw,nosuid arrakis.internal.falcot.com:/shared /srv/shared
Eksempel 11.23. NFS inngang i /etc/fstab
-filen
arrakis.internal.falcot.com:/shared /srv/shared nfs4 rw,nosuid 0 0
/shared/
NFS-mappen fra arrakis
-tjeneren til den lokale /srv/shared/
-mappen. Lese-skriveadgang kreves (derav rw
parameteret). nosuid
-valget er et beskyttelsestiltak som sletter alle setuid
eller setgid
-bit fra programmer lagret i delingen. Hvis NFS-delingen kun er ment til å lagre dokumenter, er et annet anbefalt alternativ noexec
, som hindrer kjøring av programmer som er lagret i delingen. Legg merke til at på tjeneren, er ikke shared
-mappen under NFSv4 root export (for eksempel /export/shared
), en toppnivå-mappe.