/etc/exports
, viser kataloger som er gjort tilgjengelig via nettverket (eksportert). For hver NFS-deling, er det bare den gitte listen over maskiner som får tilgang. Mer finkornet adgangskontroll kan oppnås med et par alternativer. Syntaksen for denne filen er ganske enkel:
/katalog/som/deles maskin1(opsjon1,opsjon2,...) maskin2(...) ...
fsid=0
, eller fsid=root
.
*.falcot.com
, eller et IP-adresseområde som 192.168.0.0/255.255.255.0
, eller 192.168.0.0/24
.
ro
-valget). Valget rw
tillater lese- og skriveadgang. NFS-klienten kobler vanligvis til fra en port forbeholdt rot (med andre ord, under 1024). Denne begrensningen kan oppheves av insecure
-valget, (secure
-alternativet er implisitt, men kan gjøres eksplisitt hvis det er nødvendig for klarhetens skyld).
sync
-valget); dette kan oppheves med async
-valget. Asynkron innskriving øker ytelsen litt, men de reduserer påliteligheten siden det er en risiko for tap av data i tilfelle tjeneren krasjer mellom godkjenningen av innskrivingen, og den faktiske innskrivingen på disken. Siden standardverdien nettopp ble endret (i forhold til den historiske verdien av NFS), er en eksplisitt innstilling å anbefale.
nobody
-brukeren. Dette samsvarer med root_squash
-alternativet, og er aktivert som standard. Alternativet no_root_squash
, som deaktiverer denne atferden, er risikabel, og bør bare brukes i kontrollerte omgivelser. anonuid=uid
og anongid=gid
-alternativene tillater å spesifisere en annen falsk bruker til å bli brukt i stedet for UID/GID 65534 (som tilsvarer bruker nobody
og gruppe nogroup
).
sec
-valg for å indikere det sikkerhetsnivået du ønsker: sec=sys
er som standard uten noen sikkerhetsegenskaper, sec=krb5
aktiverer bare autentisering, sec=krb5i
legger til integritetsbeskyttelse, og sec=krb5p
er det mest komplette nivået, og inkluderer personvern (med datakryptering). For at dette skal virke, trenger du et Kerberos oppsett som virker (den tjenesten er ikke dekket i denne boken).
mount
-kommandoen, og i /etc/fstab
-filen.
Eksempel 11.22. Å montere manuelt med mount
-kommandoen
#
mount -t nfs4 -o rw,nosuid arrakis.internal.falcot.com:/shared /srv/shared
Eksempel 11.23. NFS-inngang i /etc/fstab
-filen
arrakis.internal.falcot.com:/shared /srv/shared nfs4 rw,nosuid 0 0
/shared/
NFS-mappen fra arrakis
-tjeneren til den lokale /srv/shared/
-mappen. Lese- og skriveadgang kreves (derav rw
-parameteret). Valget nosuid
er et beskyttelsestiltak som sletter alle setuid
, eller setgid
-bit fra programmer lagret i delingen. Hvis NFS-delingen kun er ment til å lagre dokumenter, er et annet anbefalt alternativ noexec
, som hindrer kjøring av programmer som er lagret i delingen. Legg merke til at på tjeneren er ikke shared
-mappen under NFSv4 root export (for eksempel /export/shared
), en toppnivåmappe.