Pages : 1
#1 Le 06/03/2021, à 18:51
- guedz45
[NFS4] Partage de fichiers entre 2 serveurs
Bonjour,
Souhaitant partager un dossier entre 2 serveurs nunux, je me suis intéressé à NFS4 (surtout à la v4 pour facilité la gestion des firewalls...) et donc j'ai lu beaucoup de tutos sur le sujet.
Je dirai, au doigt mouillé, que dans 99% des cas on a toujours la même chose pour les tutos "100%" NFS4 qui ressemble à ceci :
/etc/exports
/racine 192.168.1.0/24 (ro,async,no_subtree_check,fsid=0)
/racine/monpartage1 192.168.1.10 (rw,async,no_subtree_check)
/racine/monpartage2 192.168.1.20 (rw,async,no_subtree_check)
Techniquement çà fonctionne, ya pas de souci et pour faire simple fsid=0 merci d'indiquer que ce chemin est la racine de nos exports...
mais j'ai le sentiment d'avoir loupé un truc :
/racine 192.168.1.0/24 (ro,async,no_subtree_check,fsid=0)
cette ligne ci-dessus donne accès à toutes les machines du LAN à tous les partages (certes en RO dans mon exemple)
OK seul les IP indiqués dans les lignes qui suivent on un accès RW sur les partages indiqués mais à aucun moment je souhaite partager TOUT en read only à tout le monde !!!
Quelqu'un pourrait me développer le sujet car je vois pas comment faire pour faire du NFS4 sans faire du pseudo open bar...
Merci d'avance pour votre aide
Guedz
--
Modération : à l'avenir pense à utiliser les balises [ code ]
Dernière modification par bruno (Le 06/03/2021, à 19:59)
Hors ligne
#2 Le 06/03/2021, à 19:58
- bruno
Re : [NFS4] Partage de fichiers entre 2 serveurs
Bonjour,
C'est normal c'est comme cela que NFS fonctionne. Les restrictions ne peuvent se faire qu'au niveau IP et non au niveau utilisateur. Si tu autorises tout le réseau 192.168.1.0/24 cela signifie que tu as confiance en toutes les machines et tous leurs utilisateurs de ce réseau.
Si la restriction au niveau IP te suffit rien ne t'oblige à utiliser la première ligne qui partage en lecture seule a tout le réseau.
Si tu veux restreindre les accès au niveau utilisateur il va falloir sortir l'artillerie lourde : Kerberos + LDAP ou alors utiliser une autre solution de partage : SSH/SFTP par exemple.
#3 Le 07/03/2021, à 17:50
- guedz45
Re : [NFS4] Partage de fichiers entre 2 serveurs
Merci bruno pour ton intervention.
J'ai bien conscience que la gestion d'accès est traité par filtrage IP
Mon incompréhension est plutôt comment on peut utiliser le mécanisme de NFS4 à savoir la définition d'un "pseudo" chroot avec l'option fsid=0 pour définir la racine de notre export sans pour autant autoriser la racine à tous :
avec cet exemple
/racine 192.168.1.30/24 (ro,async,no_subtree_check,fsid=0)
/racine/monpartage1 192.168.1.10 (rw,async,no_subtree_check)
/racine/monpartage2 192.168.1.20 (rw,async,no_subtree_check)
l'accès à monpartage1 n'est pas possible pour l'IP 192.168.1.10 car cette ip n'a pas accès à la racine et c'est là où je comprends pas tous ces tutos....
Hors ligne
#4 Le 07/03/2021, à 18:34
- bruno
Re : [NFS4] Partage de fichiers entre 2 serveurs
Ok je pense mieux comprendre ton problème.
D'abord tu peux ne pas utiliser fsid=0 et donc seulement les deux dernières lignes. C'est probablement déjà assez sécurisé.
Avec la première ligne et fsid=0 cela te garantit qu'aucun client ne peut avoir accès aux données en dehors de /racine. Mais rien ne t'oblige à autoriser tout le réseau, tu peux très bien n'autoriser que deux IP :
/racine 192.168.1.10 (ro,async,no_subtree_check,fsid=0) 192.168.1.20 (ro,async,no_subtree_check,fsid=0)
/racine/monpartage1 192.168.1.10 (rw,async,no_subtree_check)
/racine/monpartage2 192.168.1.20 (rw,async,no_subtree_check)
#5 Le 07/03/2021, à 18:54
- guedz45
Re : [NFS4] Partage de fichiers entre 2 serveurs
Je suis de ton avis mais ce qui me choque d'un point de vue sécurité c'est que pour utiliser cette racine avec fsid=0 je suis obligé d'autoriser l'ip 1.10 à accéder à /racine/monpartage2 en read only :
si sur ma machine 192.168.1.10 je monte /racine au lieu de /racine/monpartage1 j'ai bien accès à monpartage2 en ro
et c'est bien sur ce point où j'ai beaucoup de mal à comprendre
Hors ligne
#6 Le 07/03/2021, à 19:59
- bruno
Re : [NFS4] Partage de fichiers entre 2 serveurs
Avec ce que je propose en #4 /racine est partagé en lecture seule pour les deux machines 10 et 20. Donc tout ce qui est sous /racine est accessible en lecture seule aux deux machines sauf directive contraire (lecture écriture) pour partage1 et partage2 respectivement.
Je ne vois pas de moyen d'éviter que chaque machine ne puisse voir tout le contenu de /racine sauf à ne pas utiliser fsid=0.
#7 Le 08/03/2021, à 15:29
- guedz45
Re : [NFS4] Partage de fichiers entre 2 serveurs
Malheureusement j'étais arrivé à cette conclusion et je trouve çà choquant que NFS4 "oblige" à de l'open bar là où on souhaite contrôler des accès aux données (même si filtrage IP est un peu borderline...)
C’est pour çà que je tente via des forums de voir :
- si j'ai mal compris la documentation / tuto consulté => et donc que c'est moi qui configure mal en raison de mauvais tuto ou d'une mauvaise compréhension de ma part
- soit NFS4 est plutot particulier dans son approche de la sécurité sur ce point => L'avantage de la mise en place d'une racine via fsid=0 vs openbar à tous depuis la racine ainsi exposée
Pour moi la conclusion actuellement est de ne surtout pas utiliser cette méthode de "racine" de notre arborescence exposé via fsid=0 mais j'ai peut être tort
Dernière modification par guedz45 (Le 08/03/2021, à 15:30)
Hors ligne
Pages : 1