Alex Klein wrote:
Hallo,
* Am 14.07.2002 postete Thomas Michalka:
Hallo,
folgendes Verhalten beim Start des kernel-based nfsserver unter SuSE-7.3 irritiert mich auf's äußerste:
helios:/# /usr/sbin/rcnfsserver restart Shutting down kernel based NFS server done Starting kernel based NFS serverterra.michalka.home:/: Invalid argument done
^
Diese Meldung bekomme ich, seitdem ich in den Security-Settings in YaST2 die File-Permissions von "Easy" auf "Secure" gesetzt habe.
(Da gibt es übrigens einen Fehler: wenn man YaST2 beendet hat und wieder startet, dann ist die File-Permissions-Anzeige wieder auf "Easy" - sind es die File-Permissions selber auch?)
Keine Ahnung. Wer traut schon YaST2?
Nun, es ist grundsätzlich so, wie wenn ich einen Kühlschrank kaufe - ich erwarte, daß er ordnunggemäß kühlt, nicht wahr? SuSE verkauft mir mit der Distribution YaST2 (u.v.a.m) - ich erwarte, daß YaST2 die Aufgaben, die SuSE eingebaut hat, ordnungsgemäß erfüllt. Überspitzt gesagt bräuchte ich mir für 89 Euro keine SuSE-Distribution kaufen, wenn ich immer mit Fehlern in der SuSE-eigenen Software rechnen müßte, die SuSE durch einfaches Selberausprobieren (Testen genannt) leicht selbst gefunden hätte. Wenn ich meinen Kunden einen Software liefere, wo noch Fehler drin sind, dann habe ich 24 Monate (nach der neuen Regelung) lang die kostenlose Beseitigung dieser Fehler zu gewährleisten.
Davor hatte der nfsserver kein Problem mit dem Export des Root-File-Systems. Meine /etc/exports sieht so aus:
/ terra(rw,no_root_squash)
^ Ich tippe mal darauf, daß es dem nfsserver gar nicht paßt, daß Du secure permissions nutzen willst, dabei aber dann doch gleich mal das Rootfilesystem freigeben willst.
Ich habe es auch schon mit der insecure-Option probiert - mit dem gleichen Ergebnis.
Ehrlich gesagt halte ich es persönlich auch nicht gerade für sinnvoll. Deine /etc/exports zeigt ja gerade, daß Du Dir um Sicherheit recht wenig Gedanken machst (no_root_squash, rw)
Das würde ich so nicht sagen. Erstens handelt es sich dabei um zwei Rechner, die ich, und nur ich unter meiner Fuchtel habe. Zweitens ist dieser Export nur ein Workaround zum spiegeln von einigen wertvollen Daten, bis wieder ein vernünftiger Backup geht. Drittens befindet sich mein LAN hinter einer Firewall (obwohl ich nicht paranoid bin). Viertens wird keines der NFS-Shares automatisch gemountet und ich bin auf allen Rechnern der SU und weiß, was ich tue. [...]
Weil es zwar praktisch ist, aber doch ein erhebliches Risiko darstellt.
Bei mir nicht - siehe oben. Es könnte schon sein, daß SuSE unter Paranoia leidet - wieso sind sonst derart viele Netzwerkhürden eingebaut. Beispiele zu nennen wäre jetzt müßig, aber müssen denn vor lauter Sicherheit sogar Dinge unbenutzbar sein, die SuSE sogar selber im Netzwerkhandbuch "anpreist" (aber die Schritte dazu nicht vollständig nennt)?
Übrigens gibt's keine Meldung obiger Art, wenn man den besagten Export auskommentiert, d.h. alle anderen funktionieren.
Habe ich irgendein Security-Setting diesbezüglich übersehen? Falls ja, dann ist es jedenfalls kein Standard nach einer frischen Installation, weil der /-Export ja zunächst funktioniert hat.
Na siehst Du. Entweder keine Security und / exportiert, oder eben kein /-Export, dafür die _Möglichkeit_ es relativ sicher zu gestalten.
Bitte lies genau: die anderen Partitionen kann ich schon exportieren (z.B. /var, worin sich u.a. die Benutzer-Mails befinden) - warum sollte das kein Sicherheitsrisiko darstellen? Tut mir leid, daß das nicht sehr hilfreich für mich ist, denn es ging mir eigentlich um die Frage, warum "terra.michalka.home:/" ein "Invalid Argument" sein soll. Für mich hört sich das - wenn ich es genau lese - nicht gerade wie eine Erlaubnisverweigerung im Sinne einer Sicherheitseinstellung an, sondern eher an, wie - naja, was weiß ich :-? Ein syntaktisches Problem ist es wohl auch nicht, denn in diesem Fall erhält man eine detailierte Meldung, was im exports-Eintrag falsch ist. Es kann viele gute Gründe geben, die Root-Partition zumindest temporär zu exportieren, und ich finde über die evtl. Unzulässigkeit, das zu tun, bisher keinerlei Hinweise. Übrigens kann man durchaus auch "sicher" exportieren, z.B. mit read_only. Nun ja, es wäre nett, wenn sich hier gelegentlich auch mal jemand von SuSE melden könnte, denn das Problem trat, wie gesagt, unmittelbar nach einer Umstellung der file permissions mit YaST2 auf und läßt sich durch eine Rückumstellung nicht beheben. Schöne Grüße Thomas