Монтирование сетевого каталога

Автор Dexter, 11 Февраля 2010, 15:54

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Dexter

Итак,
столкнулся с проблемой. Проблема заключается в программистах. Вообще, чаще видишь, когда программу пишут под определенную систему, архитектуру и так далее. Однако, дали программу, и теперь просят заставить сервер плясать под нее. В общем, о компетентности мы как-нибудь еще поговорим. Ниже задача.

Имеется сервер server01, на котором крутится определенная программа, в каталоге программы есть каталог../fuckdir/ (к примеру), который легким нажатием клавишь экспортируется сервером NFS на удаленный сервер-клиент,в каталог той же программы, /home/user1/prog/fuckdir/ и /home/user2/prog/fuckdir/.

Перед нами встала проблема безопасности, так как пользователи на сервере и клиенте, использующие эту программу, имеют разные UID. Как бы я не старался, безопасно не получается, так как в этом каталоге, как потом выяснилось, создаются файлы не только от вышеупомянутых пользователей сервера и клиента, но и черт знает еще от кого. Моя просьба о том, чтобы программа создавала файлы для определенного UID (ну, так обычно бывает), не была принята. Судя по-всему программисты сами не поняли что написали. Ну, да ладно. После недельной перепалки, чтобы избавить себя от головной боли, дал все права, прописав в файл /etc/exports следующую строку:
/home/user0/prog/fuckdir 192.168.1.12(rw,no_root_squash,insecure)
Теперь файлы клиент может удалять даже если файл создан из под root на сервере NFS. Программа у программистов не работает, даже тестерам не отдали еще на растерзание. Думаю, да как так? Но, появилась мысль. При удалении файла, система задает вопрос:
Типа, этот файл создан read-only, are sure?
Конечно, sure, нажимаю "y" и файла как не бывало. Но подозреваю, что программа эта не может реагировать на подобные вопросы и ничего не делает.
Опять же, предложение заставить программу реагировать на вопросы системы приняты не были.

Есть у кого какие мысли, что еще сделать? Или может у NFS есть опция о которой я не знаю, типа (make_beauty)?

[size="1"]P.S.Просто реально, не знаю че делать. Сейчас на испытательном сроке не хочу ругаться, но терпение на исходе. [/size]

log

Цитата: Dexter от 11 Февраля 2010, 15:54Есть у кого какие мысли, что еще сделать? Или может у NFS есть опция о которой я не знаю, типа (make_beauty)?

[size="1"]P.S.Просто реально, не знаю че делать. Сейчас на испытательном сроке не хочу ругаться, но терпение на исходе. [/size]
Привет. Попробуй прилепить sticky-bit на каталоги.
ЦитироватьБиты s и t для каталогов
Бит t не позволяет пользователю удалять в данном каталоге чужие файлы, если у него нет права на запись в эти файлы. Он нужен, например, для каталога /tmp, где любой может создавать файлы (и, значит, у всех есть право на запись в этот каталог), но не стирать чужие файлы без разрешения.
То есть, ты рутом ставишь стики-бит, писать могут все, а удалять только рут.
Это все, что пришло в голову.
А потом, доктор, я собрал мир. Это заняло у меня 7 дней...

Dexter

Цитата: log от 11 Февраля 2010, 16:05Привет. Попробуй прилепить sticky-bit на каталоги.

То есть, ты рутом ставишь стики-бит, писать могут все, а удалять только рут.
Это все, что пришло в голову.
Мне как раз надо, чтобы могли все создавать, удалять, редактировать и так далее.

Vicpo

Цитироватьanonuid and anongid These options explicitly set the uid and gid of the anonymous account. This option is primarily useful for PC/NFS clients, where you might want all requests appear to be from one user. As an example, consider the export entry for /home/joe in the example section below, which maps all requests to uid 150 (which is supposedly that of user joe).
/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)То есть задаем так, что все файлы создаются от одного пользователя. Только если так. С безопасностью судя по описанию мудрить даже не стоит пытаться...

Dexter

Цитата: Vicpo от 11 Февраля 2010, 16:09/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)То есть задаем так, что все файлы создаются от одного пользователя. Только если так. С безопасностью судя по описанию мудрить даже не стоит пытаться...
Получается вот как: сервер-nfs сам ничего не монтирует. Он работает локально, соответственно создает файлы для своего UID, что уже составляет проблему для тех, кто импортирует каталог.

log

Цитата: Dexter от 11 Февраля 2010, 16:07Мне как раз надо, чтобы могли все создавать, удалять, редактировать и так далее.
Создавать, редактировать -смогут.Решение от Вити по моему оптимальное.
А потом, доктор, я собрал мир. Это заняло у меня 7 дней...

Vicpo

Цитата: Dexter от 11 Февраля 2010, 16:13Получается вот как: сервер-nfs сам ничего не монтирует. Он работает локально, соответственно создает файлы для своего UID, что уже составляет проблему для тех, кто импортирует каталог.

Ну вот в /etc/exports и прописать UID GID юзера сервера NFS, который пашет с этим каталогом, а все кто примапил себе этот каталог автоматом будут создавать файлы от этого юзера, то есть вся толпа будет юзать каталог как будто один юзер

Dexter

Спасибо!
Попробовали так. Программисты проверяют. Если что -- напишу. http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />

Valter

Привет. Юзал вот по этому мануалу - он скопированный но работает как в Сузе, так и в 10.04  Установка NFS в UBUNTU