Also: NFS über SSH tunneln
auf rechner 1 (der daten freigibt):
- neuen lokalen Benutzer: tunnel mit leerem Passwort
- Gruppe root, sshd
- uid unter 1000 (z.B. 503)
- einloggen
- ssh-keygen -t rsa
- ~/.ssh/id_rsa bzw. id_rsa.pub kopieren auf den zweiten rechner →
/root/.ssh
auf rechner 2 (der mounten möchte):
- ssh-copy-id -i /root/id_rsa tunnel@192.168.100.1
- /etc/hosts - folgende zeile hinzufügen
192.168.100.1 server
auf rechner 1:
- tunnel-Benutzer bekommt loginshell: /bin/false - wegen der
Sicherheit
auf rechner 2:
- in die /opt/kde3/bin/startkde oder wo auch immer (einfach auch so
eingeben, müsste auch gehen):
ssh -N -L 2002:192.168.100.1:2049 -L 2030:192.168.100.1:1119 -c
blowfish tunnel@server -f sleep 24h
mount localhost:/daten
- in /etc/fstab
localhost:/daten /daten nfs
tcp,intr,bg,port=2002,mountport=2030,user,noauto,exec 0 0
falls es nicht gehen sollte (unwahrscheinlich), habe ich irgendwo eine
konfigurationsdatei vergessen :-)
Liebe Grüße,
Stefan
2006/9/9, Andre Tann
Stefan Reisinger, Samstag, 9. September 2006 08:20:
Es wäre auch möglich, NFS über SSH zu tunneln. dann hat man alle Vorteile von NFS und der Nachteil (keine Benutzerauthentifizierung) fällt weg. Hab ich seit mehr als einem Jahr im Einsatz.
Wie tunnelt man denn den nfs durch ssh?
-- Andre Tann
-- Stefan Reisinger http://stefanreisinger.at.tf
Hallo, Am Montag, 11. September 2006 10:43 schrieb Stefan Reisinger:
Also: NFS über SSH tunneln auf rechner 2:
- in die /opt/kde3/bin/startkde oder wo auch immer (einfach auch so eingeben, müsste auch gehen):
ssh -N -L 2002:192.168.100.1:2049 -L 2030:192.168.100.1:1119 -c blowfish tunnel@server -f sleep 24h mount localhost:/daten
- in /etc/fstab
localhost:/daten /daten nfs tcp,intr,bg,port=2002,mountport=2030,user,noauto,exec 0 0
falls es nicht gehen sollte (unwahrscheinlich), habe ich irgendwo eine konfigurationsdatei vergessen :-)
ganz so gehts's leider nicht. denn die Port-Nummern des mountd ändern sich (SuSE 10.1). die korekte Portnummern erhält man mit: rpcinfo -p SERVER | grep tcp die Nummer des mountd setzt man dann bei SSH ein: client:> ssh -N -L 2002:SERVER:NFS-PORT -L 2030:SERVER:MOUNTD-POERT .... mehr dazu auf: http://www.linux-magazin.de/Artikel/ausgabe/2002/09/ssh/ssh.html leider funktioniert das bei mir auch noch nicht, denn beim Mounten erhalte ich: client:> mount -t nfs -otcp,intr,port=2002,mountport=203localhost:/home /daten mount: localhost:/home failed, reason given by server: Keine Berechtigung in /var/log/messages des SREVERs steht dann nur: SEREVER rpc.mountd: refused mount request from SERVER for /home (/home): illegal port 24919 und ab jetzt steh' ich auf dem Schlauch. Wer weiss rat? Bye Jürgen PS: ich hab' nataürlich /home auf dem SERVER in /etc/exports entsprechend eingetragen. Ich kann das Verzeichenis ohne Probleme direkt vom client als auch auf dem server selbst per NFS mounten. -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Am Montag 11 September 2006 15:13 schrieb Dr. Jürgen Vollmer: ...
mount: localhost:/home failed, reason given by server: Keine Berechtigung
in /var/log/messages des SREVERs steht dann nur:
SEREVER rpc.mountd: refused mount request from SERVER for /home (/home): illegal port 24919
und ab jetzt steh' ich auf dem Schlauch. Wer weiss rat?
Bye Jürgen PS: ich hab' nataürlich /home auf dem SERVER in /etc/exports entsprechend eingetragen. Ich kann das Verzeichenis ohne Probleme direkt vom client als auch auf dem server selbst per NFS mounten.
In /etc/exports muss eventuell der Export an den FQDN des Servers freigegeben sein, nicht nur an 'localhost', außerdem muss der Eintrag die Option 'insecure' haben. -- Viele Grüße ------------------------------------------------------------------------ Michael
Am Montag, 11. September 2006 15:39 schrieb Michael Behrens:
Am Montag 11 September 2006 15:13 schrieb Dr. Jürgen Vollmer: ...
mount: localhost:/home failed, reason given by server: Keine Berechtigung
in /var/log/messages des SREVERs steht dann nur:
SEREVER rpc.mountd: refused mount request from SERVER for /home (/home): illegal port 24919
und ab jetzt steh' ich auf dem Schlauch. Wer weiss rat?
Bye Jürgen PS: ich hab' nataürlich /home auf dem SERVER in /etc/exports entsprechend eingetragen. Ich kann das Verzeichenis ohne Probleme direkt vom client als auch auf dem server selbst per NFS mounten.
In /etc/exports muss eventuell der Export an den FQDN des Servers freigegeben sein, nicht nur an 'localhost', außerdem muss der Eintrag die Option 'insecure' haben.
insecure, das war's. Warum nur geht dann aber "normales" NFS? Danke & Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Am Montag 11 September 2006 16:00 schrieb Dr. Jürgen Vollmer:
insecure, das war's. Warum nur geht dann aber "normales" NFS?
Das liegt am Client, der Linux-nfs-Client 'kommt' immer über Ports <1024, solange man ihm nichts anderes angibt. Clients anderer Systeme (wenigstens AIX, wenn ich mich recht entsinne) 'kommen' von Ports über 1024, da brauchst du dann auch die Option 'insecure'. Irgendein System braucht auch noch 'insecure_locks'... -- Viele Grüße ------------------------------------------------------------------------ Michael
Ach ja, bevor ichs vergesse: es gibt auch eine Option "exec", die bewirkt,
dass ausführbare Dateien in der Freigabe auch wirklich ausgeführt werden
können. Lässt man diese weg, gehts nhämlich nicht, obwohl die Rechte passen.
Kann nerven, wenn man das Homeverzeichnis per NFS mountet und
C-Programmieren will...
LG
Stefan
2006/9/11, Michael Behrens
Am Montag 11 September 2006 16:00 schrieb Dr. Jürgen Vollmer:
insecure, das war's. Warum nur geht dann aber "normales" NFS?
Das liegt am Client, der Linux-nfs-Client 'kommt' immer über Ports <1024, solange man ihm nichts anderes angibt. Clients anderer Systeme (wenigstens AIX, wenn ich mich recht entsinne) 'kommen' von Ports über 1024, da brauchst du dann auch die Option 'insecure'. Irgendein System braucht auch noch 'insecure_locks'...
--
Viele Grüße
------------------------------------------------------------------------ Michael
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- Stefan Reisinger http://stefanreisinger.at.tf
Hallo, Am 11.09.06 schrieb Dr. Jürgen Vollmer < Juergen.Vollmer@informatik-vollmer.de>:
ganz so gehts's leider nicht. denn die Port-Nummern des mountd ändern sich (SuSE 10.1). die korekte Portnummern erhält man mit:
rpcinfo -p SERVER | grep tcp
die Nummer des mountd setzt man dann bei SSH ein: client:> ssh -N -L 2002:SERVER:NFS-PORT -L 2030:SERVER:MOUNTD-POERT ....
ach ja: den port kann man in /etc/sysconfig/nfs angeben: MOUNTD_PORT="1119" sollte abhilfe verschaffen mehr dazu auf:
http://www.linux-magazin.de/Artikel/ausgabe/2002/09/ssh/ssh.html
leider funktioniert das bei mir auch noch nicht, denn beim Mounten erhalte ich: mount: localhost:/home failed, reason given by server: Keine Berechtigung
und ab jetzt steh' ich auf dem Schlauch. Wer weiss rat?
ja, da musst du den anderen nfs-server nehmen. es gibt (wie hier schon mal diskutiert) kernel- und userspace. nimm einfach den anderen dann gehts. Liebe Grüße, Stefan Bye
Jürgen PS: ich hab' nataürlich /home auf dem SERVER in /etc/exports entsprechend eingetragen. Ich kann das Verzeichenis ohne Probleme direkt vom client als auch auf dem server selbst per NFS mounten.
-- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org
-------------------------------------------------------------------------------
-- Stefan Reisinger http://stefanreisinger.at.tf
Stefan Reisinger am Montag, 11. September 2006 15:59:
Juergen.Vollmer@informatik-vollmer.de>:
mehr dazu auf: http://www.linux-magazin.de/Artikel/ausgabe/2002/09/ssh/ssh.html
ganz so gehts's leider nicht. denn die Port-Nummern des mountd ändern sich (SuSE 10.1). die korekte Portnummern erhält man mit:
rpcinfo -p SERVER | grep tcp
die Nummer des mountd setzt man dann bei SSH ein: client:> ssh -N -L 2002:SERVER:NFS-PORT -L 2030:SERVER:MOUNTD-POERT ....
ach ja: den port kann man in /etc/sysconfig/nfs angeben: MOUNTD_PORT="1119" sollte abhilfe verschaffen
ja, da musst du den anderen nfs-server nehmen. es gibt (wie hier schon mal diskutiert) kernel- und userspace. nimm einfach den anderen dann gehts.
nicht nötig. Der SuSE Kernel hat die nötigen Patches gleich drin (s. obierg Linux-Magazin-Artikel). Es reicht die "insecure" Option in /etc/fstab anzugeben. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
participants (3)
-
Dr. Jürgen Vollmer
-
Michael Behrens
-
Stefan Reisinger