Hallo, erstmal danke für Deine ausführliche Antwort! Darauf muß ich nun wieder antworten, aber damit der Body nicht zu riesig wird, muß ich wohl einiges kürzen, was meine Anwort für sich genommen vielleicht nicht verständlicher macht. Aber wen's interessert kann ja den Thread noch von oben her durchgehen. Alex Klein wrote:
Hallo,
* Am 16.07.2002 postete Thomas Michalka:
Alex Klein wrote:
* Am 14.07.2002 postete Thomas Michalka:
folgendes Verhalten beim Start des kernel-based nfsserver unter SuSE-7.3 irritiert mich auf's äußerste:
helios:/# /usr/sbin/rcnfsserver restart Shutting down kernel based NFS server done Starting kernel based NFS serverterra.michalka.home:/: Invalid argument done
Diese Meldung bekomme ich, seitdem ich in den Security-Settings in YaST2 die File-Permissions von "Easy" auf "Secure" gesetzt habe.
(Da gibt es übrigens einen Fehler: wenn man YaST2 beendet hat und wieder startet, dann ist die File-Permissions-Anzeige wieder auf "Easy" - sind es die File-Permissions selber auch?)
Keine Ahnung. Wer traut schon YaST2?
Nun, es ist grundsätzlich so, wie wenn ich einen Kühlschrank kaufe - ich erwarte, daß er ordnunggemäß kühlt, nicht wahr?
Und? Dein YaST2 läuft auch und verändert auch die Config files.
Schön, aber daß YaST2 nach erneutem Start behauptet, die File-Permissions seien immer noch auf "Easy", obwohl ich sie vorher auf "Secure" verändert hatte, ist doch wohl eindeutig ein Fehler in der Software, den man durch bloßes Ausprobieren (von Testen will ich hier gar nicht reden) bei SuSE hätte finden können. Meine Zeit ist einfach zu teuer, um nachzuforschen, ob YaST2 die Permissions wirklich nicht verändert hat oder nur die Anzeige im YaST-Modul falsch ist.
Du erwartest von Deinem Kühlschrank auch nicht, daß Bier drin liegt.
Wenn es so wäre, dann lebte ich im Schlaraffenland :-) Aber ich erwarte von YaST2 auch nicht, daß es die Dateien /etc/permisssions.* selber aus dem Nichts erschafft, sonder nur, daß es die Permissions daraus korrekt liest und danach einstellt, und die schlußendlich korrekt anzeigt.
SuSE verkauft mir mit der Distribution YaST2 (u.v.a.m) - ich erwarte, daß YaST2 die Aufgaben, die SuSE eingebaut hat, ordnungsgemäß erfüllt.
Das Ding heißt aber SuSE-Linux und nicht SuSE-YaST2.
Noch besser, dann hätte SuSE juristisch sogar die Verpflichtung, für alles was mitgeliefert wird, eine Gewährleistung auf bestimmungsgemäße Funktion über 24 Monate zu übernehmen. ;-) Hurra, wir Käufer sind echt fein raus! :-) Also, mal ernst, ich erwarte nicht, daß SuSE jedes einzelne, der über 4000 Software-Pakete austestet - das wäre echt zuviel verlangt. Aber daß SuSE ihre selbst verbrochene Software testet (Gut- und Schlechtfälle), kann man mit Fug und Recht erwarten! [ ... ]
Wenn eine bestimmte Software features nicht vorsieht, dann ist es nicht Aufgabe des Admin-Tools, das festzustellen. Nett, wenn es das Tool macht, aber daß es nicht geht, das sollte schon dem Admin klar sein.
Du hast mich offenbar falsch verstanden. Falls man die Root-Partition tatsächlich nicht mehr exportieren können sollte (was ich nicht glaube, weil ich es mit der 7.3 schon gemacht habe), dann erwarte ich natürlich *nicht*, daß YaST diese Erkenntnis eingebaut hat! Der Fehler, den ich oben moniert habe, ist YaST2-intern und hat als solcher nichts mit NFS zu tun.
Wenn ich meinen Kunden einen Software liefere, wo noch Fehler drin sind, dann habe ich 24 Monate (nach der neuen Regelung) lang die kostenlose Beseitigung dieser Fehler zu gewährleisten.
Quatsch.
Willst Du besser wissen, welche rechtlichen Verpflichtungen *ich* habe?
Hast Du eigentlich Dein YaST2 schonmal aktualisiert?
Gerade erst wieder, aber dieser Fehler (s.o.) ist immer noch drin.
Außerdem macht YaST2 keinen Fehler. Es konfiguriert etwas, das nicht geht. Dafür haftet SuSE nicht.
Diese Aussage hier beruht auf Deinem Mißverständnis meiner Fehlerschilderung (s.o.) - vielleicht hätte ich mein Problem mit NFS nicht mit meiner Nebenbemerkung zu diesem Fehler garnieren sollen :-\
Die Gewährleistung hast Du auf das Produkt YaST2. Und das erstellt das Configfile nach Deinen Wünschen. YaST2 kann nicht den Export festlegen, der ungültig ist.
Dann verstehen wir uns ja jetzt!
Davor hatte der nfsserver kein Problem mit dem Export des Root-File-Systems. Meine /etc/exports sieht so aus:
/ terra(rw,no_root_squash)
^ Ich tippe mal darauf, daß es dem nfsserver gar nicht paßt, daß Du secure permissions nutzen willst, dabei aber dann doch gleich mal das Rootfilesystem freigeben willst.
Ich habe es auch schon mit der insecure-Option probiert - mit dem gleichen Ergebnis.
========================== NFS-HOWTO ===================================== [ ... ] ==========================================================================
Danke, hab' ich auch gelesen. Wenn ich aber ständig Furcht vor Eindringlingen in mein LAN hätte, dann würde ich wirklich unter Paranoia leiden. Das Ziel muß dcch sein, Eindringlinge möglichst schon an der Firewall aufzuhalten. Sonst müßte ich in meiner Wohnung jedes Zimmer mit Sicherheitsschlössern ausstatten und ständig einen schweren Schlüsselbund mit mir rumschleppen. Wie absurd das ist, sieht man daran, daß mein Vergleich hier insofern hinkt, daß ich eher Zimertüren zumauern müßte, damit ich mein "/home" nicht von zwei verschiedenen Zimmern (Rechner A und B) betreten kann.
Zu Deinem Problem:
========================== NFS-HOWTO =====================================
A few cautions are in order about what cannot (or should not) be exported. First, if a directory is exported, its parent and child directories cannot be exported if they are in the same filesystem. However, exporting both should not be necessary because listing the parent directory in the /etc/exports file will cause all underlying directories within that file system to be exported.
==========================================================================
[ ... ]
vernünftiger Backup geht. Drittens befindet sich mein LAN hinter einer Firewall (obwohl ich nicht paranoid bin). Viertens wird keines der NFS-Shares automatisch gemountet und ich bin auf allen Rechnern der SU und weiß, was ich tue.
Fünftens kann jeder, der root-Rechte auf dem anderen Rechner erlangt auch root-Rechte auf diesem System bekommen:
This can have serious security implications, although it may be necessary if you want to perform any administrative work on the client machine that involves the exported directories. You should not specify this option without a good reason.
Danke für Deine Fürsorglichkeit! ;-) [ ... ]
Ich denke nicht, daß das auf SuSEs Mist gewachsen ist, sondern einfach zur UNIX/Linux Philosophie gehört. Unter Windows ist man sich der Lücken eben einfach nicht bewußt genug.
Und bei Dir ist es ein Risiko, auch wenn Du es anders einstufst.
Diese qualitativen Einschätzungen sind mir zu schwammig. Wie hoch ist denn das Risiko, daß jemand über meine Firewall und über Rechner A auch auf Rechner B eindringt? Angenommen, die Wahrscheinlichkeit, daß während eine Online-Zeit jemand meine Firewall überwindet, wäre 1%, und diejenige, daß er wegen NFS-Exports von einem auf den anderen Rechner im LAN (auf dem Firewall-Rechner läuft kein Dienst, außer der Paketfilterung) kommt, wäre 90%, dann wäre die Gesamtwahrscheinlichkeit, daß er die Firewall knackt _UND_ über Rechner A auf Rechner B kommt das Produkt der Wahrscheinlichkeiten, d.h. 0,01 * 0,90 = 0,09, also 0,9%. Betrügen die zweite Wahrscheinlichkeit nur 10 %, dann wäre das Gesamtrisiko zwar nur 0,1%, also um den Faktor 9 geringer, aber der Risikounterschied beträgt nur 0,8%. Soll ich mich deswegen verrückt machen, und auf *temporär_kurzzeitiges* NFS verzichten? Die Wahrscheinlichkeitswerte sind zwar nur angenommen, aber die quantitative Abschätzung zeigt schon ungefähr die "Größenordnung" des Effekts, über den wir diskutieren. [ ... ]
Bitte lies genau: die anderen Partitionen kann ich schon exportieren (z.B. /var, worin sich u.a. die Benutzer-Mails befinden) - warum sollte das kein Sicherheitsrisiko darstellen?
Lesen bildet ungemein.
Ja, aber noch mehr das selber Ausprobieren, auch wenn's einem gefährlich vorkommt ;-) Wenn das so mancher früher nicht gewagt hätte, wüßten wir um solche Problematiken heute fast nichts. [ ... ]
Sind Deine anderen Exports alles eigene Partitionen?
Das sind sie, allesamt.
Wenn nein, dann hätten wir wohl schon die Lösung.
Tja, leider ...
Tut mir leid, daß das nicht sehr hilfreich für mich ist, denn es ging mir eigentlich um die Frage, warum
"terra.michalka.home:/"
ein "Invalid Argument" sein soll. [ ... ]
Geht der Export allein?
Meinst Du, wenn alle anderen Partions-Exports auskommentiert sind? Ich probiere das morgen aus, für heute ist es mir jetzt schon zu spät. Wenn ich mehr weiß, gebe ich Laut ...
Hast Du schonmal die sdb gefragt?
Ja, aber leider nichts dazu gefunden. Schönen Gruß, Thomas