nfs – SMsoft – informatica e dintorni

Linux: Permessi per il gruppo su file system NFS

admin — Tue, 10 Jan 2023 09:30:00 +0000

Linux permette di definire, per file e directory (che ricordo sono sempre file per il sistem operativo), i permessi (lettura, scrittura, esecuzione) per l’utente proprietario, per gli utenti dello stesso gruppo del proprietario e per tutti gli altri.

Per consentire, ad esempio al proprietario ed agli utenti del gruppo tutti i permessi di una cartella, basta:

chmod 775 [NOME_DIR]

Se utilizzate un file system condiviso NFS ed avete più utenti in un gruppo e possibile che questa cosa non basti ed è facile verificarlo, provando a creare un nuovo file nella directory NOME_DIR.

In questo caso, bisogna controllare il file /etc/default/nfs-kernel-server e disabilitare l’eventuale opzione –manage-gids (oppure -g in breve) in RPCMOUNTDOPTS.

Dopo averlo fatto, consiglio di ricaricare le impostazioni di systemd e riavviare il servizio NFS:

systemctl daemon-reload
service nfs-server restart

enjoy!

Abilitare il server nfs su OSX e MacOS

admin — Tue, 24 Jan 2017 08:30:15 +0000

In casi di emergenza, potrebbe far comodo avviare un server NFS per la condivisione dei dati sul proprio Mac. Non tutti sanno che OSX e MacOS hanno anche il servizio NFS che può essere facilmente avviato. Vediamo come fare.

Innanzitutto modifichiamo il file /etc/exports inserendo la cartella da esportare ed i relativi permessi. Per modificare questo file servono i permessi di amministratore.
Ecco un esempio del contenuto di /etc/exports, con diversi tipi di export:
/Users/tech/Downloads/allread -ro -mapall=nobody -alldirs /Users/tech/Downloads/allwrite -mapall=nobody -alldirs -network 192.168.1.0 -mask 255.255.255.0 /Users/tech/Downloads/writeAs501 -mapall=501 -alldirs 192.168.1.5 /Users/tech/Downloads/user

Questo il significato:
la cartella /Users/tech/Downloads/allread può essere vista ed usata da qualsiasi computer (non è stato specificato una classe IP), è sola lettura “-ro” ed alle connessioni viene assegnato l’utente nobody “-mapall=nobody“. Questo parametro consente a tutti di accedere alla cartella, ma senza avere diritti sulla stessa. Infine il parametro “-alldirs” è usato per indicare che sarà possibile vedere anche eventuali sottocartelle della directory esportata.

la cartella /Users/tech/Downloads/allwrite può essere montata da tutti i computer della sottorete 192.168.1.0/255.255.255.0, con i permessi di lettura/scrittura e sempre come utete nobody.

la cartella /Users/tech/Downloads/writeAs501 è disponibile solo per il computer con IP 192.168.1.5, ha i permessi di lettura/scrittura e la connessione viene riconosciuta come utente con ID 501

la cartella /Users/tech/Downloads/user può essere montata da qualsiasi compure in lettura/scrittura e l’ID dell’utente connesso sarà quello dell’utente con cui viene originata la connessione (ovvero se sul PC da cui viene fatta la connessione si sta usando l’utente root, sul server NFS si avranno i privilegi di root).

Bene, a questo punto abilitiamo ed avviamo il servizio:
sudo nfsd enable sudo nfsd start

Per verificare che il servizio sia attivo, si può eseguire da terminale il seguente comando:
ps aux | grep nfsd |grep -v grep
si dovrà vedere una riga simile alla seguente:
root 94920 0,0 0,0 2468000 3348 ?? Ss 10:56am 0:00.02 /sbin/nfsd

Inoltre si può eseguire il seguente comando per verificare lo status degli export:
showmount -e
si vedrà una cosa del genere:
Exports list on localhost: /Users/tech/Downloads Everyone

Per provare a montare la cartella NFS , possiamo fare in questo modo. Ipotizziamo di voler montare l’export nella cartella aaa locale e che l’IP del server NFS sia 192.168.1.100:
mkdir aaa mount -t nfs 192.168.1.100:/Users/tech/Downloads aaa ls aaa

Per smontare la cartella:
umount aaa

Quando non servirà più il servizio NFS, basterà disabilitarlo con:
sudo nfsd disable

enjoy!

NFS: quali porte aprire sul firewall?

admin — Tue, 02 Feb 2016 09:30:59 +0000

Vi state chiedendo quali siano le porte usate dal vostro server NFS?

Basta eseguire il seguente comando:

rpcinfo -p localhost

per visualizzare una cosa del genere:

program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100227    2   tcp   2049
    100227    3   tcp   2049
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100227    2   udp   2049
    100227    3   udp   2049
    100021    1   udp  32771  nlockmgr
    100021    3   udp  32771  nlockmgr
    100021    4   udp  32771  nlockmgr
    100021    1   tcp  32771  nlockmgr
    100021    3   tcp  32771  nlockmgr
    100021    4   tcp  32771  nlockmgr
    100005    1   udp  32032  mountd
    100005    1   tcp  32032  mountd
    100005    2   udp  32032  mountd
    100005    2   tcp  32032  mountd
    100005    3   udp  32032  mountd
    100005    3   tcp  32032  mountd

Bene, le porte sono la 111 tcp/upd, la 2049 tcp/upd, la 32771 tcp/udp e la 32032 tcp/udp.

Se però provate a riavviare il servizio NFS, vi accorgerete che le porte per nlockmgs e mountd cambiano.

Come impostarle fisse in modo da sapere esattamente quali aprire nel firewall del server ma anche del client?

Per il lock manager, modifichiamo il file /etc/sysctl.conf, aggiungendo le righe:

#NFS lock port
fs.nfs.nlm_udpport=32771
fs.nfs.nlm_tcpport=32771

e poi ricaricando le modifiche:

sysctl -p

In alcune distro, è necessario invece modificare il file /etc/modprobe.d/local.conf, aggiungendo la riga:

options lockd nlm_udpport=32771 nlm_tcpport=32771

Per il mountd (che attende le richieste di mount) modifichiamo il file /etc/default/nfs-kernel-server forzando l’uso di una sola porta modificando il parametro RPCMOUNTDOPTS come segue:

RPCMOUNTDOPTS="--port 32032"

Per gestire anche la porta per lo status monitor, bisogna modificare il file /etc/default/nfs-common ed in particolare il parametro STATDOPTS come segue:

STATDOPTS="--port 32111"

Bene, se avete seguito la mia configurazione, le porte da aprire saranno sempre la 111 tcp/udp, la 2049 tcp/udp, la 32771 tcp/udp e la 32032 tcp/udp.

Nota: Per gli utilizzatori di Apf Firewall, consiglio di controllare la direttiva BLK_PORTS perché la porta 111 viene bloccata di default.

enjoy!

NFS e firewall

admin — Tue, 11 Dec 2012 09:26:32 +0000

Attivare un firewall su un server NFS richiede una piccola configurazione del servizio NFS, per fissare le porte da utilizzare in modo da poterle aprire nel firewall.

In particolare, NFS viene esportato sulle porte 111 (tcp/udp) e 2049 (udp) e poi altre due porte random per nlockmgr e mountd. Per fissare quest’ultime due porte, bisogna:

modificare il file /etc/modprobe.d/local.conf inserendo:

options lockd nlm_udpport=32768 nlm_tcpport=32768
options nfs callback_tcpport=32764

modificare il file /etc/default/nfs-kernel-server inserendo:

RPCMOUNTDOPTS="-p 32767 --manage-gids"

modificare il file /etc/default/nfs-common insedendo:

STATDOPTS="--port 32765 --outgoing-port 32766"

Bene, ora le porte da aprire nel firewall (sia udp che tcp) sono:
111
2049
32764
32765
32766
32767
32768

enjoy!