Michael Renner wrote:
Naja, dort beschränke ich auf einen Host_namen_ bzw. eine IP-_Adresse_. Schall und Rauch. :-(On Thursday 15 January 2004 21:02, Ruediger Noack wrote:Ich will auf einem NFS-Server ein Verzeichnis für genau _einen_ User vongenau _einem_ Client freigeben.Das mit dem einen Client ist kein Problem, machst du in der /etc/exports
Das ist ungefähr wie: Es klingelt an der Tür, ich lasse mir einen Zettel mit dem Namen des Einlasssuchenden hereinreichen und entscheide danach, ob ich die Tür öffne. Weder vor noch nach dem Öffnen prüfe ich auf Übereinstimmung zwischen Namen und Person. Das ist nicht wirklich brauchbar. :-(
Zusätzlicher User = zusätzliche Unsicherheit, würde ich lieber vermeiden. Nicht das ich das als sehr kritisch ansehe, aber lieber erst einmal ausreizen, was man soundso hat bzw. haben muss.Du kannst den User anlegen, das Verzeichnis ihm geben und die Rechte auf 700 setzen.
Das muss ich mir ansehen, danke. Da root soundso an die daten könnte, scheint mir das vernünftiger zu sein.Oder du gibst dieses Verzeichnis root (nur ein Beispiel) und maps die User ID in der /etc/exports entsprechen. Siehe dazu die Sektion 'User ID Mapping' in der manpage zu exports. Unter Umstanden muss root_squash noch abgeschaltet werden.
Bleibt das Client-Problem. Scenario:In diesem Netz gibt es einen bösen Buben. Er braucht nur IP-Adresse des authorisierten Rechners und Usernamen kennen und richtet das auf seinem Rechner mal schnell ein... Und freut sich über viele neue Daten. ;-) Geht's noch einfacher? Deswegen die Ursprungsfrage. Kann man sich NFS-seitig besser absichern?
Wenn nicht, bleiben 3 Möglichkeiten: 1. auf NFS verzichten;2. NFS nur in einem Netz mit *ausschließlich* vertrauenswürdigen Usern (at home? ;-) );
3. Zusätzliche Sicherungsmaßnahmen; Was käme denn für 3. in Zusammenhang mit NFS in Frage? Gruß Rüdiger --