Folgender Eintrag in /etc/exports /test 192.168.1.103(rw,root_squash,sync) berechtigt 192.168.1.103, /test 192.168.1.10?(rw,root_squash,sync) berechtigt aber 192.168.1.103 nicht. Wie müßte als der Eintrag lauten um die Rechner 192.168.1.100 - 192.168.1.109 zu berechtigen? Sollte man ro-Medien wie CD oder DVD async als Parameter geben? Albert
Al Bogner wrote:
Folgender Eintrag in /etc/exports
/test 192.168.1.103(rw,root_squash,sync) berechtigt 192.168.1.103, /test 192.168.1.10?(rw,root_squash,sync) berechtigt aber 192.168.1.103 nicht.
Wie müßte als der Eintrag lauten um die Rechner 192.168.1.100 - 192.168.1.109 zu berechtigen?
Hm, die manpage "man 5 exports" beschreibt die Wildcards fuer Machine Names nicht fuer IP-Adressen. Diese kannst du als Gruppen ueber die address/netmask ansprechen. In deinem Fall passend (Vielleicht auch nicht) ist die Kombination 192.168.1.96/26, welches die Maschinen 192.168.1.96-.111 berechtigt. Falls du die zusaetzlichen Rechner nicht mit in der Zielmenge haben willst, hilft a) neuzuweisen der IP-Adressen oder b) jede Machine einzeln auflisten (fuer diese Datei ist das Trennzeichen ein Leerzeichen). Peter
On Montag, 13. Januar 2003 17:29 Peter Wiersig wrote:
Hm, die manpage "man 5 exports" beschreibt die Wildcards fuer Machine Names nicht fuer IP-Adressen. Diese kannst du als Gruppen ueber die address/netmask ansprechen.
Also die Rechner client1, client2 und client3 könnte ich zB mit client? oder client* erlauben. Ist die Berechtigung von Maschinennamen risikoreicher als die von IP-Adressen? Ich denke an die Situation, dass sich jemand mit einem Notebook (unerlaubt) ins lokale Netzwerk hängt.
In deinem Fall passend (Vielleicht auch nicht) ist die Kombination 192.168.1.96/26, welches die Maschinen 192.168.1.96-.111 berechtigt.
Ja, danke, das passt gut. Wie berechnet man das bzw. gibt es ein Programm für kompliziertere Konfigurationen?
Falls du die zusaetzlichen Rechner nicht mit in der Zielmenge haben willst, hilft a) neuzuweisen der IP-Adressen oder b) jede Machine einzeln auflisten (fuer diese Datei ist das Trennzeichen ein Leerzeichen).
Bisher wurden die Maschinen einzeln per IP-Adresse aufgelistet. Das ist mir aber zu aufwendig, wenn neue Export-Verzeichnisse dazu kommen. Albert
Hi, 0n 03/01/13@18:04 Al Bogner told me:
On Montag, 13. Januar 2003 17:29 Peter Wiersig wrote:
Hm, die manpage "man 5 exports" beschreibt die Wildcards fuer Machine Names nicht fuer IP-Adressen. Diese kannst du als Gruppen ueber die address/netmask ansprechen.
Also die Rechner client1, client2 und client3 könnte ich zB mit client? oder client* erlauben.
IIRC, war es zumindest bei nfs mal so dass IPs nicht gingen, wenn sie lokal aufloesbar waren.
Ist die Berechtigung von Maschinennamen risikoreicher als die von IP-Adressen? Ich denke an die Situation, dass sich jemand mit einem Notebook (unerlaubt) ins lokale Netzwerk hängt.
IMHO nein, da Du IPs verwendest, gehe ich mal davon aus, dass dort kein dynascher dhcp diese Adressen verteilt und dann sind Namen wohl genauso "einfach" zu erraten wie die IPs.
In deinem Fall passend (Vielleicht auch nicht) ist die Kombination 192.168.1.96/26, welches die Maschinen 192.168.1.96-.111 berechtigt.
Bist Du, Peter, sicher, dass das so geht bei nfs? Du aenderst damit ja auch die netzwerk und broadcast Adresse und ich weiss nicht ob nfs da nicht drauf rumfunkt. -- bye maik
On Montag, 13. Januar 2003 16:13 Maik Holtkamp wrote:
In deinem Fall passend (Vielleicht auch nicht) ist die Kombination 192.168.1.96/26, welches die Maschinen 192.168.1.96-.111 berechtigt.
Bist Du, Peter, sicher, dass das so geht bei nfs?
Ich habe in yast (NFS-Server) 192.168.1.96/26 eingetragen und es funktioniert bei 2 Rechnern, ob alle funktionieren, konnte ich noch nicht testen. So durchdacht ist es hier sowieso nicht zu sehen, da zur Zeit alle lokalen Rechner Zugriff haben (dürfen) und die Berechtigungen der einzelnen User über Dateirechte und Gruppen laufen. Albert
Al Bogner wrote:
On Montag, 13. Januar 2003 16:13 Maik Holtkamp wrote:
hm, hier fehlen noch Attribution-lines.
Peter wrote:
In deinem Fall passend (Vielleicht auch nicht) ist die Kombination 192.168.1.96/26, welches die Maschinen 192.168.1.96-.111 berechtigt.
Bist Du, Peter, sicher, dass das so geht bei nfs?
Naja, es steht in der Manpage. Das Feature-Set ergaenzt sich meist anders herum (sprich: Programmierer dokumentieren zu spaet.)
Ich habe in yast (NFS-Server) 192.168.1.96/26 eingetragen und es
Wie ich schon in der erlaeuternden Mail geschrieben habe: /28 waere der kleinste Nenner fuer die genannten IPs. Peter
Moin, die Gelegenheit möchte ich nutzen, hie einen Thread anzuwerfen. Die Frage beschäftigt mich nämlich schon länger, ich hatte aber bis jetzt noch nie richtig Zeit, mich damit auseinander zu setzen (das Gegoogele hat mich auch nicht weiter gebracht). Al Bogner schrieb: [Hostnamen oder IP-Adressen in /etc/exports?]
Ist die Berechtigung von Maschinennamen risikoreicher als die von IP-Adressen? Ich denke an die Situation, dass sich jemand mit einem Notebook (unerlaubt) ins lokale Netzwerk hängt.
Dann müßte der "Böse" mit dem Notebook halt den passenden Namen, anderst die passende IP-Adresse konfigurieren. Kommt auf's gleiche raus. Aber wie Albert schreibt, kann ja jeder kommen und "mal kurz" sein Notebook ins Netz hängen. Wenn sich dann auf dem Notebook Benutzer mit den UID's 500 aufwärts befinden, muß er sich nur als ein solcher Benutzer auf dem Notebook anmelden und kann dann auf Daten des NFS-Servers zugreifen, die dieser UID gehören, ihn aber eigentlich gar nichts angehen. Ich habe mir mal überlegt, man könnte NFS statt an IP-Adressen/Hostnamen an MAC-Adressen freigeben. Geht sowas? Hat vielleicht jemand eine andere Idee, wie man einen NFS-Server absichern kann? Gruß, Patrick
On Montag, 13. Januar 2003 18:12 Patrick Hess wrote:
Dann müßte der "Böse" mit dem Notebook halt den passenden Namen, anderst die passende IP-Adresse konfigurieren. Kommt auf's gleiche raus.
IMO fast, ich denke es gibt mehr Möglichkeiten bei einer Wildcard mit Maschinennamen als bei einem IP-Bereich. Aber viel bringt das natürlich nicht. Albert
Moin, Al Bogner schrieb:
On Montag, 13. Januar 2003 18:12 Patrick Hess wrote:
Dann müßte der "Böse" mit dem Notebook halt den passenden Namen, anderst die passende IP-Adresse konfigurieren. Kommt auf's gleiche raus.
IMO fast, ich denke es gibt mehr Möglichkeiten bei einer Wildcard mit Maschinennamen als bei einem IP-Bereich. Aber viel bringt das natürlich nicht.
So oder so sind Ratespielchen angesagt, die sich mit mehr oder weniger Aufwand knacken lassen, da hast du recht. Security by obscurity ist aber ohnehin nicht das Mittel der Wahl. Daher wäre ich interessiert, mit welchen technischen Mitteln man einen NFS-Server gegen unbefugte Zugriffe schützen könnte. Gruß, Patrick
Patrick Hess wrote:
Ich habe mir mal überlegt, man könnte NFS statt an IP-Adressen/Hostnamen an MAC-Adressen freigeben. Geht sowas? Hat vielleicht jemand eine andere Idee, wie man einen NFS-Server absichern kann?
man arp, $EDITOR /etc/ether und wahrscheinlich auch: $EDITOR /etc/boot.local um "/sbin/arp -f" auszufuehren arp ist bei 8.0 in "net-tools" enthalten. Peter
Tach, Peter Wiersig schrieb:
Patrick Hess wrote:
Ich habe mir mal überlegt, man könnte NFS statt an IP-Adressen/Hostnamen an MAC-Adressen freigeben. Geht sowas?
man arp, $EDITOR /etc/ether
Ok, nach `man arp` habe ich nun verstanden, daß ich eine Datei /etc/ethers (oder wie auch immer ich sie nennen möchte) anlegen kann, die etwa folgenden Inhalt hat: Hostname1 MAC-Adresse1 Hostname2 MAC-Adresse2 Damit ordne ich dann also einem Hostnamen eine bestimmte MAC-Adresse zu. Aber irgendwie verstehe ich das Prinzip nicht. Ersetzt dieses dann eine /etc/hosts? Akzeptiert der Server dann nur noch Verbindungen von Rechnern, auf die eine dieser Zuordnungen zutrifft? Muß ich das nur auf dem Server machen? Wäre schlecht, das ist eine FreeBSD-Kiste, da gibt es das in dieser Form bestimmt nicht (lt. Manpage werden mit `arp` Kernel-Parameter gesetzt...). Würde mich freuen, wenn mich da jemand aufklären könnte. Gruß, Patrick
Patrick Hess wrote:
Aber irgendwie verstehe ich das Prinzip nicht. Ersetzt dieses dann eine /etc/hosts? Akzeptiert der Server dann nur noch Verbindungen von Rechnern, auf die eine dieser Zuordnungen zutrifft?
Nein, er weiss nur schon die MAC Adressen von den Clients.
Muß ich das nur auf dem Server machen? Wäre schlecht, das ist eine FreeBSD-Kiste, da gibt es das in dieser Form bestimmt nicht (lt. Manpage werden mit `arp` Kernel-Parameter gesetzt...).
Von meinem Verstaendnis der Sache sollte es auch auf *BSD gehen.
Würde mich freuen, wenn mich da jemand aufklären könnte.
+---[ http://www.freesoft.org/CIE/Topics/61.htm ]---- | ARP Protocol Overview | | Once a common encapsulation mechanism has been selected for | Ethernet, hosts must still convert a 32-bit IP address into a 48-bit | Ethernet address. The Address Resolution Protocol (ARP), documented | in RFC 826, is used to do this. It has also been adapted for other | media, such as FDDI. | | ARP works by broadcasting a packet to all hosts attached to an | Ethernet. The packet contains the IP address the sender is | interested in communicating with. Most hosts ignore the packet. The | target machine, recognizing that the IP address in the packet | matches its own, returns an answer. | | Hosts typically keep a cache of ARP responses, based on the | assumption that IP-to-hardware address mapping rarely change. +--- Ja, das musst du auf dem Server machen, wenn du halbwegs sicher sein willst, mit den richtigen Clients zu reden. Du musst das auf den Clients machen, wenn du auch sicherstellen willst auch mit dem richtigen Server zu reden. Besser ist wahrscheinlich ein Switch der MAC-Locking kann. Peter
Moin, Peter Wiersig schrieb:
Patrick Hess wrote:
Aber irgendwie verstehe ich das Prinzip nicht. Ersetzt dieses dann eine /etc/hosts? Akzeptiert der Server dann nur noch Verbindungen von Rechnern, auf die eine dieser Zuordnungen zutrifft?
Nein, er weiss nur schon die MAC Adressen von den Clients.
Heißt also, ich darf in die /etc/hosts des Servers nur die Rechner reinschreiben, die ich auf den Server zugreifen lassen will (momentan sind da ein paar "Reserve"-Einträge drin)? Der Server würde dann die IP-Adresse, die der Client übermittelt, mittels seiner /etc/hosts in einen Rechnernamen auflösen und dann vergleichen, ob die MAC-Adresse des Clients mit der übereinstimmt, die ich mit "arp" gespeichert habe? Ist das wirklich sicher oder kann man das irgendwie umgehen?
Muß ich das nur auf dem Server machen? Wäre schlecht, das ist eine FreeBSD-Kiste, da gibt es das in dieser Form bestimmt nicht (lt. Manpage werden mit `arp` Kernel-Parameter gesetzt...).
Von meinem Verstaendnis der Sache sollte es auch auf *BSD gehen.
Dann muß ich mich mal umsehen, wie das dort geht.
Du musst das auf den Clients machen, wenn du auch sicherstellen willst auch mit dem richtigen Server zu reden.
Das ist nicht wichtig.
Besser ist wahrscheinlich ein Switch der MAC-Locking kann.
Der auch entsprechend $BIGNUM Euro verschlingen wird... Nö, ich schaue mir das mal mit dem "arp" an. Gruß, Patrick
Patrick Hess wrote:
Peter Wiersig schrieb:
Patrick Hess wrote:
Aber irgendwie verstehe ich das Prinzip nicht. Ersetzt dieses dann eine /etc/hosts? Akzeptiert der Server dann nur noch Verbindungen von Rechnern, auf die eine dieser Zuordnungen zutrifft?
Nein, er weiss nur schon die MAC Adressen von den Clients.
Heißt also, ich darf in die /etc/hosts des Servers nur die Rechner reinschreiben, die ich auf den Server zugreifen lassen will (momentan sind da ein paar "Reserve"-Einträge drin)?
Hm, klar, wenn der Server sonst keine weitere Moeglichkeit hat, IP-Adressen in Hostnamen aufzuloesen, hilft es wenn /etc/hosts auf ein Minimalmass reduziert wird. Aber /etc/ether ist zusaetzlich zu /etc/hosts noetig.
Der Server würde dann die IP-Adresse, die der Client übermittelt, mittels seiner /etc/hosts in einen Rechnernamen auflösen und dann vergleichen, ob die MAC-Adresse des Clients mit der übereinstimmt, die ich mit "arp" gespeichert habe?
Nein, er baut die Ethernet-Pakete nur so zusammen, als wuesste er alles. Aber richtig viel veraendern, was mit den Paketen nach dem sie die Netzwerkkarte des Servers verlassen haben, kann man durch nichts, was im Server passiert. (Promiscuous-Mode NICs und Co)
Ist das wirklich sicher oder kann man das irgendwie umgehen?
Besser ist wahrscheinlich ein Switch der MAC-Locking kann.
Der auch entsprechend $BIGNUM Euro verschlingen wird... Nö, ich schaue mir das mal mit dem "arp" an.
arp bietet allerdings weniger Schutz vor dem Szenario "Fremder, boeser Client hat Zugriff auf's Ethernet-Kabel". Peter
Tach, dank Peter habe ich die Zuordnung von Hostnamen zu einer bestimmten MAC-Adresse hinbekommen. Ändere ich auf dem Server die MAC-Adresse zu einem bestimmten Hostnamen mittels "arp" auf irgendeinen Phantasiewert ab, kriegt der Client keine Antwort mehr. Erst, wenn ich die richtige MAC-Adresse des Clients eintrage, kann er wieder auf den Server zugreifen. So weit so gut. Nur ist mir aufgefallen, daß alle Rechner, die nicht in der /etc/hosts sind, trotzdem auf den Server zugreifen, also NFS-Exporte mounten können. Kann ich da auch irgendwas mit "arp" tricksen, so daß Pakete an Hostnamen, die nicht auflösbar sind, nicht mehr beim Empfänger ankommen? Gruß, Patrick
Patrick Hess wrote:
So weit so gut. Nur ist mir aufgefallen, daß alle Rechner, die nicht in der /etc/hosts sind, trotzdem auf den Server zugreifen, also NFS-Exporte mounten können.
Kann ich da auch irgendwas mit "arp" tricksen, so daß Pakete an Hostnamen, die nicht auflösbar sind, nicht mehr beim Empfänger ankommen?
Nein, das kann arp sicher nicht. Das sollte aber ueber die Eintraege in /etc/exports und der Namensaufloesung, bzw. Rueckaufloesung erklaerbar sein. Damit ich den Erklaerbaer spielen kann, brauch ich aber eben jene Eintraege. Peter
Moin, Peter Wiersig schrieb:
Patrick Hess wrote:
Kann ich da auch irgendwas mit "arp" tricksen, so daß Pakete an Hostnamen, die nicht auflösbar sind, nicht mehr beim Empfänger ankommen?
Nein, das kann arp sicher nicht.
Schade.
Das sollte aber ueber die Eintraege in /etc/exports und der Namensaufloesung, bzw. Rueckaufloesung erklaerbar sein.
Damit ich den Erklaerbaer spielen kann, brauch ich aber eben jene Eintraege.
Bei mir steht in /etc/exports einfach nur das exportierte Verzeichnis, fertig. Keine weiteren Optionen. Ich hatte mal "*.hess.home" oder auch "192.168.0.*" versucht, aber dann bekam ich vom "mountd" immer "Bad export list" entgegengehalten. Tja, was kann man da tun? Evtl. muß ich noch mal in der BSD-Liste nachfragen, ob das wirklich nicht geht. Gruß, Patrick
Patrick Hess wrote:
Bei mir steht in /etc/exports einfach nur das exportierte Verzeichnis, fertig. Keine weiteren Optionen. Ich hatte mal "*.hess.home" oder auch "192.168.0.*" versucht, aber dann bekam ich vom "mountd" immer "Bad export list" entgegengehalten.
Tja, was kann man da tun? Evtl. muß ich noch mal in der BSD-Liste nachfragen, ob das wirklich nicht geht.
Du willst ja einen Eintrag wie "/dir *.hess.home" haben, damit Clients, deren IP-Adresse nicht zurueckgemappt werden koennen abgewiesen werden. Steht denn in "man 5 exports" auf dem Server auch etwas zu Wildcard eintraegen drin? Keine weitere Optionen? DAS ist laut meiner Manpage nicht erlaubt. Ausprobiert hab ich das auch noch nie. Hm auch interessant: +---[ man mountd ]--- | TCP_WRAPPERS SUPPORT | This rpc.mountd version is protected by the tcp_wrapper | library. You have to give the clients access to rpc.mountd | if they should be allowed to use it. To allow connects | from clients of the .bar.com domain you could use the fol | lowing line in /etc/hosts.allow: | | mountd: .bar.com | | You have to use the daemon name mountd for the daemon name | (even if the binary has a different name). For the client | names you can only use the keyword ALL or IP addresses | (NOT host or domain names). | | For further information please have a look at the | tcpd(8), hosts_allow(5) and hosts_access(5) manual pages. +--- Wenn .allow klappt, geht bestimmt auch .deny - darueber kann man auch nur aufloesbare Hosts freigeben. Ob dein mountd auch mit TCP_WRAPPERS kompiliert wurde zeigt "ldd rpc.mountd", bzw. "strings rpc.mountd|grep 'hosts\.allow'" Peter
Moin, Peter Wiersig schrieb:
Patrick Hess wrote:
Bei mir steht in /etc/exports einfach nur das exportierte Verzeichnis, fertig. Keine weiteren Optionen. Ich hatte mal "*.hess.home" oder auch "192.168.0.*" versucht, aber dann bekam ich vom "mountd" immer "Bad export list" entgegengehalten.
Steht denn in "man 5 exports" auf dem Server auch etwas zu Wildcard eintraegen drin?
Nein, scheint daher auch nicht möglich zu sein. Einfacherweise werde ich mir eine Netgroup anlegen und dort einfach alle Rechner reinschmeißen. Das dürfte die schnellste und übersichtlichste Lösung sein. Ich bin ja froh, daß ich jetzt endlich weiß, wie man Hostnamen einer MAC-Adresse zuweist, der Rest ist eigentlich dann kein Hindernis mehr.
Keine weitere Optionen? DAS ist laut meiner Manpage nicht erlaubt. Ausprobiert hab ich das auch noch nie.
Doch. Wenn ich in /etc/exports einfach nur die Zeile /home einfüge, kann jeder, der Zugriff auf den Rechner hat, dessen /home mounten.
Hm auch interessant: +---[ man mountd ]--- | TCP_WRAPPERS SUPPORT
Naja, wie gesagt, ich mache es einfach über eine Netgroup, damit ich die Hostnamen nur noch einmal schreiben muß. Gruß, Patrick
Am Montag, 13. Januar 2003 18:12 schrieb Patrick Hess:
Moin,
die Gelegenheit möchte ich nutzen, hie einen Thread anzuwerfen. Die Frage beschäftigt mich nämlich schon länger, ich hatte aber bis jetzt noch nie richtig Zeit, mich damit auseinander zu setzen (das Gegoogele hat mich auch nicht weiter gebracht).
Al Bogner schrieb:
[Hostnamen oder IP-Adressen in /etc/exports?]
Ist die Berechtigung von Maschinennamen risikoreicher als die von IP-Adressen? Ich denke an die Situation, dass sich jemand mit einem Notebook (unerlaubt) ins lokale Netzwerk hängt.
Dann müßte der "Böse" mit dem Notebook halt den passenden Namen, anderst die passende IP-Adresse konfigurieren. Kommt auf's gleiche raus.
Aber wie Albert schreibt, kann ja jeder kommen und "mal kurz" sein Notebook ins Netz hängen. Wenn sich dann auf dem Notebook Benutzer mit den UID's 500 aufwärts befinden, muß er sich nur als ein solcher Benutzer auf dem Notebook anmelden und kann dann auf Daten des NFS-Servers zugreifen, die dieser UID gehören, ihn aber eigentlich gar nichts angehen.
Ich habe mir mal überlegt, man könnte NFS statt an IP-Adressen/Hostnamen an MAC-Adressen freigeben. Geht sowas? Hat vielleicht jemand eine andere Idee, wie man einen NFS-Server absichern kann?
In deinem kleinen Netz könnte man den Server auch ohne großen Aufwand über entsprechende Paketfilter abschirmen, die nur bestimmte MAC-IDs erlauben $IPTables -A INPUT -i eht0 --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT für alle vorhandenen Hosts im internen Nezt wiederholen, keine weiteren INPUT-Regeln für -i eth0 und natürlich default für INPUT auf DROP oder REJECT setzen (oder alternativ ein "$IPTables -A INPUT -i eth0 -j DROP" anhängen). Natürlich bleibt immer noch die Gefahr, dass jemand durch Probieren eine erlaubte MAC-ID herausfindet, aber ob der Aufwand lohnt? Zusätzlich könntest du auch noch die jeweilige IP-Adresse des Hosts in die einzelnen Regeln mit einbinden, was es noch etwas schwieriger macht - vor allem, wenn du nicht die allseits beliebten 192.168.0.x Adressen nimmst ;-) Über eines solltest du dir ohnehin im Klaren sein: Ein Server, der physisch erreichbar ist, ist 100% unsicher. Ist ein (lokales) Netz physisch erreichbar, in dem der Server direkt zu finden ist, so ist der Server und damit dieses Netz ebenfalls relativ unsicher (Siehe Problematik WAN). Erst wenn ein Server durch entsprechende Schutzvorrichtungen (Firewall-Konzepte) gegen alle erreichbaren Netze abgeschirmt wird, die nur genau definierte Kommunikation erlauben, wird der Server sicherer. Oder man schimt das gesamte Netz gegen physischen Zugriff ab. Und da helfen auch Layer3-Switches nur weiter, wenn sie physisch nicht umgangen werden können (Verteilerschrank öffnen, eigenen Switch danebenstellen und umpatchen ;-). Außerdem bleiben immer die Fragen: Lohnt der gesamte Aufwand? Wie groß ist die Gefahr eines "Angriffs"? Welcher Schaden kann dadurch geschehen? -- Gruß MaxX
Am Mittwoch, 22. Januar 2003 16:31 schrieb Andreas Kostyrka:
Am Dienstag, 14. Januar 2003 07:46 schrieb Matthias Houdek:
Natürlich bleibt immer noch die Gefahr, dass jemand durch Probieren eine erlaubte MAC-ID herausfindet, aber ob der Aufwand lohnt?
Welches Probieren? tcpdump?
Damit hast du nur die MAC-IDs der Rechner, die bereits im Netz laufen. Ich glaube nicht, dass das so gut ist, sich noch einmal mit gleicher IP und gleicher MAC ins gleiche Netz zu hängen ;-) Gut, man könnte warten, bis einer von denen wieder raus ist. -- Gruß MaxX, Quotenossi und Plenker(er) 8-)
Al Bogner wrote:
On Montag, 13. Januar 2003 17:29 Peter Wiersig wrote:
Hm, die manpage "man 5 exports" beschreibt die Wildcards fuer Machine Names nicht fuer IP-Adressen. Diese kannst du als Gruppen ueber die address/netmask ansprechen.
Also die Rechner client1, client2 und client3 könnte ich zB mit client? oder client* erlauben.
Genau.
Ist die Berechtigung von Maschinennamen risikoreicher als die von IP-Adressen?
Heutzutage eine geringe Gefahr. Alte BIND-Installationen liessen sich leichter davon ueberzeugen, das "10.0.0.1" die Maschine "client1" ist.
Ich denke an die Situation, dass sich jemand mit einem Notebook (unerlaubt) ins lokale Netzwerk hängt.
Da hilft nach wie vor nur ganz wenig gegen. Wer physikalischen Zugriff auf Netzhardware erhaelt, kann viel dummes Zeug anstellen. Das gilt fuer Kabel wie fuer Rechner.
In deinem Fall passend (Vielleicht auch nicht) ist die Kombination 192.168.1.96/26, welches die Maschinen 192.168.1.96-.111 berechtigt.
Ja, danke, das passt gut. Wie berechnet man das bzw. gibt es ein Programm für kompliziertere Konfigurationen?
Hm, da gibt's auch Software zu, ich selbst rechne es mir im Kopf um: 192.168.1.100 = 11000000.1101000.00000001.01100100 192.168.1.109 = 11000000.1101000.00000001.01101101 Nun schautmal, wieviele Bits gleichbleiben ^ ^ 28 - oehm, bei der ersten Antwort verzaehlt. Peinlich peinlich. Dann noch das zurueckrechnen auf die tatsaechlichen IP-Adressen (Weil die unteren 4 Bit noch mehr Kombinationen erlauben) Ist auch im NET-Howto genauer aufgefuehrt (oder nicht?)
Falls du die zusaetzlichen Rechner nicht mit in der Zielmenge haben willst, hilft a) neuzuweisen der IP-Adressen oder b) jede Machine einzeln auflisten (fuer diese Datei ist das Trennzeichen ein Leerzeichen).
Bisher wurden die Maschinen einzeln per IP-Adresse aufgelistet. Das ist mir aber zu aufwendig, wenn neue Export-Verzeichnisse dazu kommen.
-> lerne vims cut-n-paste mit "vimtutor" Peter
participants (6)
-
Al Bogner
-
Andreas Kostyrka
-
Maik Holtkamp
-
Matthias Houdek
-
patrick_hess@t-online.de
-
Peter Wiersig