Re: DNS dynamique et export NFS

To: debian-user-french@lists.debian.org
Subject: Re: DNS dynamique et export NFS
From: Franck Joncourt <joncourt_franck@yahoo.co.uk>
Date: Wed, 21 Feb 2007 22:13:54 +0100
Message-id: <[🔎] 45DCB612.9060408@yahoo.co.uk>
In-reply-to: <[🔎] 45DAE6A0.3000502@plouf.fr.eu.org>
References: <[🔎] 200702191033.18409.mic.grentz@online.fr> <[🔎] 200702201107.59271.mic.grentz@online.fr> <44112.212.123.4.203.1171967458.squirrel@212.123.4.203> <[🔎] 200702201143.39250.mic.grentz@online.fr> <[🔎] 45DAE6A0.3000502@plouf.fr.eu.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pascal Hambourg wrote:
> Est-ce une simple vérification ? Ne serait-ce pas plutôt à ce moment que
> l'adresse IP correspondante est retrouvée à partir du nom, et
> ultérieurement lors de la demande de montage du partage seule cette
> adresse IP est utilisée ?
> 
> Ça me semble relativement facile à tester : attribuer une adresse IP
> quelconque au nom de domaine, définir l'export en fonction de ce nom
> puis modifier l'adresse IP et tenter de monter le partage sur la machine
> ayant cette adresse. Si c'est une simple vérification que le nom existe,
> ça devrait marcher.
> 
> Je remarque que tu utilises le serveur NFS en mode noyau
> (nfs-kernel-server). Or s'il y a une chose que je sais, c'est que le
> noyau ne connaît rien à la résolution de noms ni au DNS. Par exemple si
> une règle iptables contient une source ou une destination sous la forme
> d'un nom de domaine, c'est le programme iptables en useland qui fait la
> résolution en adresse IP a priori avant de créer la règle dans le noyau
> qui, pour sa part, ne voit que les adresses IP. Par conséquent si le nom
> n'est pas défini au moment de la création de la règle, la création
> échoue. Si l'adresse associée au nom change par la suite, la règle
> continue de s'appliquer à l'ancienne adresse.
> 

Je n'ai pas les moyens de tester cela avant le week end :p!
En tout cas cela me semble plus que plausible.

Par contre, j'ai un probleme avec le fait de mettre le FQDN dans le
fichier /etc/exports. Par definition, cela signifie que l'on veut
interdire l'acces a diverses ressources pour certaines machines. Cela
ressemble beaucoup a une tentative de securisation. Cependant, pour
securiser nfs, il est recommande de verrouiller l'acces aux services
rpcs et au portmapper. Ceci n'est possible que depuis les fichiers
/etc/hosts.allow et hosts.deny qui ne font pas de resolution de noms
pour ces services (du moins je ne connais pas d'autres solutions) ; on
est donc obliger de se baser sur une adresse ip ! On devient alors moins
flexible au niveau de l'adressage des ip dans un reseau. Autrement, il
faut mettre en place Kerberos avec son systeme de clefs. Si le but est
la securisation, il faudrait plutot se tourner vers la derniere
solution. (voire aussi SSH, IPSEC).

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF3LYSxJBTTnXAif4RAgEtAJ0fi/BmPmNW/mX5YttQ1ka65nwShQCgmv2g
3ruOWj1vnrXpZhNr1V8eN0w=
=ZHVe
-----END PGP SIGNATURE-----

___________________________________________________________ 
Now you can scan emails quickly with a reading pane. Get the new Yahoo! Mail. http://uk.docs.yahoo.com/nowyoucan.html

Reply to:

References:
- DNS dynamique et export NFS
  - From: Michel Grentzinger <mic.grentz@online.fr>
- Re: DNS dynamique et export NFS
  - From: Michel Grentzinger <mic.grentz@online.fr>
- Re: DNS dynamique et export NFS
  - From: Michel Grentzinger <mic.grentz@online.fr>
- Re: DNS dynamique et export NFS
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: [Sarge3.1]qmail+openldap
Next by Date: Re: Programmation Langage C
Previous by thread: Re: DNS dynamique et export NFS
Next by thread: Réinstallation Dual boot.
Index(es):
- Date
- Thread