Hallo zusammen!
Ich möchte gerne ein NFS-Share mounten, dessen Zugriffsrechte 770 sind, auf das also nur Besitzer und Gruppenmitglieder Zugriff haben.
Aus Sicherheitsgründen habe ich bei meinem NFS-Server root-squash aktiviert, so dass mounts eines root-users (standardmäßig bei der dbox der Fall) mit der uid nobody ausgeführt werden.
Gibt es:
a) eine Möglichkeit einen entsprechenden User auf der Dbox hinzuzufügen(useradd ist ja scheinbar leider kein Bestandteil der busybox)
und
b) diese bei den Parametern der Mounteinstellungen in Neutrino (User/Pass) anzugeben und zu benutzen? (momentan sind diese ja meines Wissens nur für CIFS&FTP relevant)
Oder altermativ
c) die Möglichkeit den manuell möglichen mount im Namen des mit Hilfe von a) erstellten Users zu automatisieren? ("su" gibt es allerdings scheinbar auch nicht...)
Alternativ bliebe mir nur die Lösungen root-squash zu deaktivieren, oder die Verzeichnisrechte auf 777 zu ändern, was mir beides nicht sonderlich gut gefällt...
PS:CIFS oder FTP zu nutzen ist ebenfalls keine Lösung, da diese bei mir keine ausreichende Performance für Aufnahmen bieten.
PPS: Ich weiß dass dies nur ein äußerst schwacher Sicherheitsschutz wäre, aber immerhin noch besser als gar keine Schutz/vollzugriff..
Userangabe für NFS-Mount
-
- Einsteiger
- Beiträge: 216
- Registriert: Freitag 6. September 2002, 15:32
-
- Erleuchteter
- Beiträge: 865
- Registriert: Dienstag 12. März 2002, 21:40
Hi,
ich bin ein wenig verwirrt.
Bei mir siehts so aus:
/daten 192.168.0.0/255.255.255.0(sync,rw,all_squash,anonuid=1000,anongid=1000)
Damit werden die Rechte beim Mounten bzw. beim Zugriff mit uid=1000 und gid=1000 ausgeführt. (wer immer auch dahinter stecken mag )
Wenn dieser Benutzer oder Gruppe die enstprechenden Rechte vom Filesystem auf der Nfs-Freigabe hat, kann man z.b. von der Dbox Streams mit uid/gid=1000 anlegen und wieder löschen (also per Fernbedienung)
Möchte man das Mounten auf ein einzelnes Gerät beschränken, z.b. dbox, könnte man die zugreifende IP-Adresse einschränken (192.168.0.20 = IP der dbox)
192.168.0.20/255.255.255.0
Dies ist aber nur eine kleine Sicherheitshürde, wenn jemand die Ip-Adresse kennt kann er diese ja an seinem Gerät/Pc einrichten und zugreifen.
Dieses Nfs-Mounten Konstrukt inkl. gewünschten Sicherheitsregeln funktioniert nur recht durchgängig, wenn alle Netzteilnehmer/Geräte von einer zentralen Stelle gewartet und autorisiert werden (LDAP?)
Die dbox hat nicht die gewünschte Benutzerverwaltung welche die uid/gid übergeben könnte.
An für sich soll der Nfs-Server im dbox Umfeld auch nur ne Schaufel Speicherplatz zum Streamen anbieten.
Zum Beachten von komplexen Sicherheitsstufen müssen andere Konstrukte her.
Korrigiert mich wenn ich Unsinn rede...
Gruß
Frockert
ich bin ein wenig verwirrt.
Bei mir siehts so aus:
/daten 192.168.0.0/255.255.255.0(sync,rw,all_squash,anonuid=1000,anongid=1000)
Damit werden die Rechte beim Mounten bzw. beim Zugriff mit uid=1000 und gid=1000 ausgeführt. (wer immer auch dahinter stecken mag )
Wenn dieser Benutzer oder Gruppe die enstprechenden Rechte vom Filesystem auf der Nfs-Freigabe hat, kann man z.b. von der Dbox Streams mit uid/gid=1000 anlegen und wieder löschen (also per Fernbedienung)
Möchte man das Mounten auf ein einzelnes Gerät beschränken, z.b. dbox, könnte man die zugreifende IP-Adresse einschränken (192.168.0.20 = IP der dbox)
192.168.0.20/255.255.255.0
Dies ist aber nur eine kleine Sicherheitshürde, wenn jemand die Ip-Adresse kennt kann er diese ja an seinem Gerät/Pc einrichten und zugreifen.
Dieses Nfs-Mounten Konstrukt inkl. gewünschten Sicherheitsregeln funktioniert nur recht durchgängig, wenn alle Netzteilnehmer/Geräte von einer zentralen Stelle gewartet und autorisiert werden (LDAP?)
Die dbox hat nicht die gewünschte Benutzerverwaltung welche die uid/gid übergeben könnte.
An für sich soll der Nfs-Server im dbox Umfeld auch nur ne Schaufel Speicherplatz zum Streamen anbieten.
Zum Beachten von komplexen Sicherheitsstufen müssen andere Konstrukte her.
Korrigiert mich wenn ich Unsinn rede...
Gruß
Frockert
---------------------------
2.6.11-kanotix-3 KDE 3.3.2
http://www.frockert.de
http://www.eifel-forum.de
2.6.11-kanotix-3 KDE 3.3.2
http://www.frockert.de
http://www.eifel-forum.de
-
- Einsteiger
- Beiträge: 216
- Registriert: Freitag 6. September 2002, 15:32
Das ist keine Schande-nach erneutem durchlesen hat mich mein Beitrag auch etwas verwirrt
Diese Lösung habe ich auch schon in Betracht gezogen-dabei fehlt mir nur leider wiederum die etwas feinere Abstimmungsmöglichkeit, da nun jeder NFS-User mit den Rechten der uid 1000 läuft.
Mein Problem liegt wahrscheinlich eigentlich darin, dass ich zum einen nicht nur für die Box NFS nutze, und zum anderem das Share auch noch über andere Protokolle frei gebe.
Die beste Lösung wird es wahrscheinlich sein ein extra Share für die Dbox zu erstellen, und die restlichen Shares mit den jeweiligen uids zu steuern...
Diese Lösung habe ich auch schon in Betracht gezogen-dabei fehlt mir nur leider wiederum die etwas feinere Abstimmungsmöglichkeit, da nun jeder NFS-User mit den Rechten der uid 1000 läuft.
Mein Problem liegt wahrscheinlich eigentlich darin, dass ich zum einen nicht nur für die Box NFS nutze, und zum anderem das Share auch noch über andere Protokolle frei gebe.
Die beste Lösung wird es wahrscheinlich sein ein extra Share für die Dbox zu erstellen, und die restlichen Shares mit den jeweiligen uids zu steuern...