Re: [HS] montages NFS, droits et bidouilles
Bruno Muller, jeudi 17 juin 2010, 11:57:40 CEST
>
> Hello,
’lut,
>[…]
> > tout lire/modifier puisqu’il est root.
>
> Non, non...
> Le root du client NFS peut faire ce qu'il veut sur le serveur si et
> seulement si dans le /etc/exports du serveur il est spécifié l'option
> no_root_squash.
>
> man 5 exports -> User ID Mapping
<Mauvaise-foi>
Oui, si tu utilises NFS 3 ou plus, dans NFS 2 (donc avant
1989 ;o), c’est le client qui vérifie l’accès.
</Mauvaise-foi>
> Mais c'est vrai que globalement, NFS pêche en ce qui concerne la
> sécurité.
Oui, et la correspondance d’ID n’est pas très fine :
– root_squash empêche de tripoter les fichiers de root mais pas
ceux des autres ;
– all_squash empêche de tripoter tous les fichiers (donc pire
que du ro) ;
– anon[ug]id supprime l’utilisation des uid/gid pour gérer les
droits (vu que tous les clients sont vus sous le même uid/gid).
’fin bon, c’est toujours mieux que d’autres…
--
Sylvain Sauvage
Reply to: