Журнал LinuxFormat - перейти на главную

LXF160:Рубрика сисадмина

Материал из Linuxformat
Перейти к: навигация, поиск


По рецептам доктора Брауна

(thumbnail)
Д-р Крис Браун. Доктор обучает, пишет и консультирует по Linux. Ученая степень по физике элементарных частиц ему в этом совсем не помогает.


Содержание

За­щи­та че­ло­ве­ка

Обезо­па­сить сер­ве­ры недоста­точ­но. Нуж­но по­за­бо­тить­ся и о поль­зо­ва­те­лях.

Итак, вы от­вет­ст­вен­но от­но­си­тесь к за­щи­те сво­их сер­ве­ров: ре­гу­ляр­но вы­пол­няе­те об­нов­ления безо­пас­но­сти, на­строи­ли бранд­мау­эр, от­клю­чи­ли вход в сис­те­му от имени root и за­да­ли слож­ные па­ро­ли.

Но за­кру­чи­вание га­ек на сер­ве­рах не гаранти­ру­ет безо­пас­но­сти кор­по­ра­тив­ных дан­ных, если со­трудники ва­шей ком­пании те­кут как ре­шето. В детстве ма­ма не ве­ле­ла вам брать кон­фе­ты у незна­ко­мцев. Но мно­гие ор­ганиза­ции не да­ют это­го про­сто­го со­ве­та, что­бы обезо­па­сить сво­их со­трудников в ки­бер­про­стран­ст­ве. Ес­ли у ва­шей ком­пании нет про­грам­мы обу­чения осно­вам безо­пас­но­сти, не убе­дить ли босса на­чать ее?

Ин­сти­тут SANS (www.sans.org) – ча­ст­ная аме­ри­кан­ская ком­пания, и у нее нема­ло ре­сур­сов вам в по­мощь. В верхней час­ти диа­па­зо­на – боль­шое порт­фо­лио кур­сов (и с пре­по­да­ва­те­лем, и он­лайн) для про­фес­сио­на­лов в сфере безо­пас­но­сти, обыч­но стои­мо­стью в 4000 дол­ла­ров. Но у это­го сай­та есть родич (www.securingthehuman.org), где масса бес­плат­ных ма­те­риа­лов: на­при­мер, оп­рос для со­трудников по те­ме безо­пас­но­сти из 25 пунктов (ти­пич­ный во­прос: «Как час­то вы бе­ре­те ин­фор­ма­цию из офи­са и ра­бо­тае­те с ней на до­машнем ПК?»), или при­ме­ры пре­зен­та­ций, вво­дящих в курс обу­чения поль­зо­ва­те­лей осно­вам безо­пас­но­сти (в т. ч. про­грам­ма для де­тей), и удоб­ная таб­ли­ца па­ра­мет­ров для оценки, есть ли от про­грам­мы прок – час­то это про­стые во­про­сы вро­де «Сколь­ко со­трудников за­пи­ра­ют свой ком­пь­ю­тер пе­ред ухо­дом с ра­бо­ты?» А ес­ли вам нуж­но на­пу­гать свое на­чаль­ст­во, что­бы оно под­дер­жа­ло вас, на сай­те SANS есть ссыл­ки на стра­шилки из но­во­стей.

На­конец, на сай­те www.sans.org/tip_of_the_day.php вы по­лу­чите со­вет безо­пас­но­сти дня; на 1 мая 2012 го­да он был «За­кры­вай­те доступ к ком­пь­ю­те­ру пе­ред тем, как кон­тракт с ра­ботником за­кан­чи­ва­ет­ся или вы го­во­ри­те ему, что он уво­лен».

Па­ро­ли и по­ли­ти­ки

Во мно­гих ор­ганиза­ци­ях ис­поль­зу­ют­ся стран­ные ри­туа­лы управ­ления па­ро­ля­ми и по­ли­ти­ка­ми. Вот несколь­ко про­стых прак­ти­че­­ских со­ве­тов.

(thumbnail)
> Про­стая мет­ри­ка для оцен­ки слож­но­сти па­ро­ля на ос­но­ве дли­ны па­ро­ля и ко­ли­че­ст­ва групп ис­поль­зуе­мых сим­во­лов.

Сколь­ко у вас па­ро­лей? Один на до­машнем но­ут­бу­ке, дру­гой на ра­бо­чем ком­пь­ю­те­ре. За­тем – учет­ная запись ва­шей поч­ты и на кор­по­ра­тив­ном поч­то­вом сер­ве­ре. Па­ра учет­ных за­пи­сей в со­ци­аль­ных се­тях, Amazon, ebay, PayPal, ин­тернет-бан­ке и этой шту­ке под на­званием “verified by Visa”. Это по мень­шей ме­ре дю­жи­на, да­же не счи­тая все сер­ве­ры, ко­то­ры­ми вы управ­ляе­те. Об­щее ко­ли­че­­ст­во вполне мо­жет быть в два раза боль­ше. Для мно­гих из этих учет­ных за­пи­сей в ка­че­­ст­ве ло­ги­на ис­поль­зу­ет­ся поч­то­вый ад­рес, ко­то­рый не яв­ля­ет­ся сек­ре­том. По­это­му от заб­вения вас от­де­ля­ет толь­ко па­роль.

Вы­би­ра­ем на­деж­ные па­ро­ли

Вы­бор хо­ро­ше­го, на­деж­но­го па­ро­ля – по­жа­луй, един­ст­вен­ная важ­ная вещь, ко­то­рую мож­но сде­лать, что­бы со­хранить учет­ную запись в безо­пас­но­сти. Хо­ро­ший па­роль дол­жен быть:

» Доста­точ­но длин­ным и слож­ным, что­бы про­ти­во­сто­ять и сло­вар­ным ата­кам, и ата­кам ме­то­дом гру­бо­го пе­ре­бо­ра

» За­по­ми­нае­мым

» Та­ким, что его мож­но пра­виль­но на­брать с пер­вой по­пыт­ки

Удов­ле­тво­рить всем трем пунк­там до­воль­но слож­но. Не­ко­то­рые прак­ти­че­­ские со­ве­ты вы можете най­ти во врез­ке «Четыре шага к хорошему паролю». На­деж­ность па­ро­ля оценива­ет­ся по его длине и у­потреблению сим­во­лов раз­лич­ных групп. Возь­мем средний па­роль из вось­ми сим­во­лов. Ес­ли он со­сто­ит толь­ко из строч­ных букв, ком­би­на­ций будет око­ло 200 мил­ли­ар­дов. Ес­ли ис­поль­зу­ют­ся бу­к­вы в верхнем и нижнем ре­ги­ст­рах, циф­ры и спе­ци­аль­ные сим­во­лы (все­го око­ло 96 сим­во­лов), это 7 квад­рил­лио­нов ком­би­на­ций. На сай­те www.passwordmeter.com находится при­ло­жение, ко­то­рое оценивает прочность произволь­ного па­ро­ля.

Са­мые отъявленные па­ра­нои­ки из нас, конеч­но, два­ж­ды по­ду­ма­ют, пре­ж­де чем от­пра­вить свой на­де­ж­дый па­роль недо­ве­рен­но­му сай­ту, осо­бен­но та­ко­му, ко­то­рый не ис­поль­зу­ет HTTPS. В Linux есть мо­ду­ли PAM, ко­то­рые по­мо­гут уве­ли­чить на­деж­ность па­ро­ля. pam_cracklib об­на­ру­жит па­ро­ли, под­даю­щие­ся сло­вар­ным ата­кам, а pam_passwdqc за­даст минималь­ную дли­ну па­ро­ля на осно­ве ко­ли­че­­ст­ва раз­лич­ных групп сим­во­лов, ис­поль­зуе­мых па­ро­лем.

По­ли­ти­ки

Есть мнение, что сле­ду­ет взять один на­деж­ный па­роль и поль­зо­вать­ся им вез­де. Я бы не на­звал это хо­ро­шей иде­ей. Есть сай­ты, ко­то­рым вы до­ве­ряе­те и ко­то­рые за­бо­тят­ся о со­хранении па­ро­ля в сек­ре­те (на­при­мер, ин­тернет-банк). Но соз­да­вать учет­ные за­пи­си при­хо­дит­ся и на мно­гих дру­гих сай­тах. Где га­ран­тия от­вет­ст­вен­но­сти их под­хо­да, и уме­ют ли они обес­пе­чи­вать за­щи­ту от SQL-инъ­ек­ции и дру­гих атак? На­вер­ня­ка у вас есть учет­ные за­пи­си, в ко­то­рых в ка­че­­ст­ве ло­ги­на ис­поль­зу­ет­ся ад­рес элек­трон­ной поч­ты. Ес­ли одни и те же ло­гин и па­роль ис­поль­зу­ют­ся на некри­тич­ном сай­те и их кра­дут, по­то­му что вы под­клю­чи­лись со взло­ман­но­го кли­ен­та или взло­ма­ли их сер­вер, это ком­про­ме­ти­ру­ет все осталь­ные учет­ные за­пи­си.

Ме­ня так­же слег­ка нер­ви­ру­ют сай­ты, пред­ла­гаю­щие за­дать кон­троль­ные во­про­сы для восста­нов­ления па­ро­ля. Это по­лез­ная воз­мож­ность, но, на­сколь­ко я знаю, слож­ность во­про­са не про­ве­ря­ет­ся. По­это­му в об­щем надежнее иметь как минимум два па­ро­ля: один для вся­кой ерун­ды, и вто­рой – для дей­ст­ви­тель­но важ­ных сай­тов.

(thumbnail)
> Вре­мя на взлом па­ро­ля ме­то­дом гру­бо­го пе­ре­бо­ра за­ви­сит от дли­ны па­ро­ля и от на­бо­ра со­став­ляю­щих его сим­во­лов.
(thumbnail)
> Од­на из мно­гих ути­лит управ­ле­ния па­ро­ля­ми keepassx пря­чет все ваши па­ро­ли за од­ним глав­ным па­ро­лем. Вы уж по­ста­рай­тесь его не за­быть.

К со­жа­лению, вы­бо­ром двух слож­ных па­ро­лей ис­то­рия не за­кан­чи­ва­ет­ся. Во мно­гих ор­ганиза­ци­ях при­ме­ня­ет­ся по­ли­ти­ка воз­рас­та па­ро­ля, и поль­зо­ва­те­лей за­став­ля­ют пе­рио­ди­че­­ски ме­нять па­ро­ли. Ло­ги­ка из­на­чаль­но со­стоя­ла в том, что­бы ме­нять па­ро­ли ча­ще, чем их мож­но бы­ло бы взло­мать ме­то­дом гру­бо­го пе­ре­бо­ра. Мо­жет, 30 лет на­зад в ми­ре мейн­фрей­мов это и име­ло смысл. Но с тех пор ком­пь­ю­те­ры ста­ли мощнее, и вре­мя ата­ки ме­то­дом гру­бо­го пе­ре­бо­ра зна­чи­тель­но со­кра­ти­лось. В лю­бом слу­чае, есть и дру­гие тех­но­ло­гии, с ко­то­ры­ми пло­хие парни мо­гут уз­нать ваш па­роль, на­при­мер, фи­шинг. Мне ка­жет­ся, что ес­ли вы бу­де­те ме­нять па­роль ка­ж­дые 30 дней, а взла­мы­ва­ют его три неде­ли, тот факт, что у зло­де­ев останет­ся все­го неде­ля на раз­граб­ление ва­шей жизни, пре­ж­де чем вы сно­ва смените па­роль – сла­бое уте­шение. Ес­ли вы дей­ст­ви­тель­но хо­ти­те реа­ли­зо­вать ме­ханизм воз­рас­та па­ро­ля в Linux, мож­но восполь­зо­вать­ся по­ля­ми из /etc/shadow для за­дания сро­ка служ­бы па­ро­ля и аб­со­лют­ной да­ты ис­те­чения учет­ной за­пи­си. Луч­ший спо­соб за­дать эти па­ра­мет­ры – ко­ман­да change; де­та­ли мож­но уз­нать на странице ру­ко­во­дства. Впро­чем, знай­те, что са­мая по­пу­ляр­ная сре­ди со­трудников ре­ак­ция на требование сме­ны па­ро­ля – до­бав­ление циф­ры в конец па­ро­ля и уве­ли­чение этой циф­ры.

Гру­бый пе­ре­бор...

Ес­ли у зло­умыш­ленника есть доступ к сверт­ке па­ро­ля (в Linux это доступ к /etc/shadow), то он смо­жет вы­полнить ата­ку ме­то­дом гру­бо­го пе­ре­бо­ра в оф­флайн-ре­жи­ме. Мо­же­те оценить, сколь­ко вре­мени по­на­до­бит­ся на взлом па­ро­ля по его длине, длине на­бо­ра сим­во­лов, из ко­то­рых он со­став­лен, и вы­чис­ли­тель­ной мощ­но­сти в рас­по­ря­жении взлом­щи­ка.

Что­бы дать вам пред­став­ление о циф­рах, для па­ро­ля из вось­ми сим­во­лов нижнего и верхнего ре­ги­ст­ра существует 53 трил­лио­на ком­би­на­ций, и на бы­ст­ром ком­пь­ю­те­ре его мож­но взло­мать за 62 дня, а на су­пер­ком­пь­ю­те­ре – за 15 ча­сов. Под­роб­но­сти име­ют­ся на сай­те www.lockdown.co.uk/?pg=combi.

Конеч­но, вряд ли кто-то разорится на арен­ду 15 ча­сов су­пер­ком­пь­ю­тера, что­бы взло­мать ваш па­роль в Facebook. Бо­лее ве­ро­ят­но, что па­ро­ли бу­дут ук­ра­де­ны с по­мо­щью монито­рин­га на­жа­тий кла­виш на ском­про­ме­ти­ро­ван­ном ком­пь­ю­те­ре или пере­хва­че­ны со взло­ман­но­го сай­та. Про­ве­дение та­кой ата­ки пу­тем по­пы­ток вхо­да в сис­те­му вряд ли за­вер­шит­ся успеш­но, осо­бен­но по се­ти. С од­ной сто­ро­ны, это го­раз­до мед­леннее, чем сгенери­ро­вать па­роль, по­лу­чить сверт­ку и сравнить ее со сверт­кой в /etc/shadow. С дру­гой сто­ро­ны, это остав­ля­ет об­шир­ный след в фай­лах сис­тем­ных жур­на­лов. А в Linux есть ути­ли­ты во­оде fail2ban – с их по­мо­щью мож­но за­бло­ки­ро­вать IP-ад­ре­са, от­ку­да про­из­во­дят­ся неудач­ные по­втор­ные по­пыт­ки вхо­да в сис­те­му.

...и гру­бое неве­же­ст­во

В ре­аль­но­сти лю­ди час­то вы­би­ра­ют в ка­че­­ст­ве па­ро­лей клич­ки со­бак, и ста­но­вят­ся лег­кой до­бы­чей зло­умыш­ленников, поль­зую­щих­ся сло­вар­ны­ми ата­ка­ми. Про­грам­мы, вы­пол­няю­щие эту ра­бо­ту, ста­но­вят­ся все умнее, обыч­но ис­поль­зуя со­че­тания “root” (сло­вар­но­го сло­ва) и ко­рот­ко­го суф­фик­са, та­ко­го как “!” или “123”. Не­ко­то­рые так­же про­ве­ря­ют за­ме­ну букв на циф­ры, с ко­то­рой “hotel” ста­но­вит­ся “h0t3l”. А неко­то­рые пы­та­ют­ся по­лу­чить за­пи­си из ад­рес­ной книги, поч­то­во­го ар­хи­ва или дру­гие тек­сто­вые стро­ки с же­ст­ко­го дис­ка.

На­при­мер, Брюс Шнай­ер [Bruce Schneier] про­ана­ли­зо­вал 100 000 па­ро­лей, по­лу­чен­ных фи­шин­го­вым сай­том MySpace. Он об­на­ру­жил, что 12 % па­ро­лей со­стоя­ли из сло­вар­ных слов с циф­рой – са­мым по­пу­ляр­ным был “password1” (см. www.schneier.com/essay-144.html). Это сво­его ро­да про­гресс: де­сять лет на­зад са­мым по­пу­ляр­ным па­ро­лем был “password”. Шнай­ер на­пи­сал о на­деж­но­сти па­ро­лей, по­жа­луй, боль­ше чем кто-ли­бо дру­гой. В 2006 го­ду он ска­зал, что лю­бой па­роль, доста­точ­но про­стой для за­по­ми­нания, мож­но взло­мать на со­вре­мен­ных ком­пь­ю­те­рах.

Но взглянем прав­де в гла­за: вы­брать и за­помнить раз­ные слож­ные па­ро­ли для ка­ж­до­го сай­та поч­ти невоз­мож­но, осо­бен­но ес­ли вы бу­де­те ме­нять их ка­ж­дый ме­сяц (кто-нибудь на са­мом де­ле это де­ла­ет?). Од­но из ре­шений – восполь­зо­вать­ся «бу­мажником па­ро­лей», про­грам­мой, ко­то­рая хранит все па­ро­ли в за­шиф­ро­ван­ном ви­де под одним глав­ным па­ро­лем.

Не­сколь­ко лет на­зад ме­ня всерьез обес­по­кои­ло то, что дан­ные всех мо­их учет­ных за­пи­сей хра­нят­ся в ма­лень­кой чер­ной книжеч­ке, и я на­пи­сал для это­го неболь­шую ути­ли­ту. По су­ти, это скрипт-оберт­ка gpg и grep, но ей я хо­тя бы до­ве­ряю. Соб­ст­вен­ную про­грам­му пи­сать не при­шлось, по­то­му что гра­фи­че­­ских менед­же­ров па­ро­лей Linux боль­ше, чем вы мо­же­те пред­ста­вить.

На­при­мер, KeePassx (www.keepasx.org) мо­жет хранить име­на поль­зо­ва­те­лей, URL-ад­ре­са, вло­жения и ком­мен­та­рии в ба­зе дан­ных, за­шиф­ро­ван­ной 256-бит­ным TwoFish или AES. Для досту­па к ба­зе дан­ных требуется про­сто ука­зать глав­ный па­роль; вы можете на­стро­ить KeePassx так, что для ау­тен­ти­фи­ка­ции, кро­ме па­ро­ля, по­тре­бу­ет­ся и файл. Файл сго­дится лю­бой, но ес­ли соз­дать файл с длин­ной слу­чай­ной стро­кой и за­пи­сать его на USB-брелок, то фак­ти­че­­ски вы обзаведетесь двух­фак­тор­ной ау­тен­ти­фи­кацией.

Че­ты­ре ша­га к хо­ро­ше­му па­ро­лю

Рис­куя причинить вам оби­ду за ваш ин­тел­лект, при­ве­ду че­ты­ре спо­со­ба вы­бо­ра на­деж­но­го па­ро­ля.

» Пер­вый способ. Возь­ми­те два не свя­зан­ных друг с дру­гом сло­ва, на­при­мер, “goat” и “cleaner”. Вставь­те ме­ж­ду ними какой-нибудь спец­сим­вол, на­при­мер, “goat=cleaner”. Смени­те пару сим­во­лов на за­глав­ны­е, на­при­мер, “Goat=cleaneR”, и, на­конец, пре­вра­ти­те од­ну бу­к­ву в циф­ру, на­при­мер, “G0at=cleaneR”.

» Дру­гой спо­соб – взять вы­ра­жение и «сжать» его, часть букв сде­лав за­глав­ны­ми, а часть пре­вра­тив в циф­ры. На­при­мер, “I wish that I was out in the sunshine” мож­но пре­вра­тить в “Iwsht1w0itSs”.

» Тре­тий спо­соб – пе­ре­ме­шать сло­во с по­сле­до­ва­тель­но­стью цифр. На­при­мер, из “treacle” и “654321” мож­но по­лу­чить “t6r5e4a3c2l1e”.

» На­конец, для тех, у кого не хва­та­ет фан­та­зии ни на один из этих спо­со­бов, предусмотрены раз­ные ко­ман­ды, генери­рую­щие па­ро­ли. Обыч­но нуж­но что-то про­де­лать с вы­во­дом /dev/urandom – на­при­мер, ко­ман­да:

tr -dc a-zA-Z0-9 < /dev/urandom | head -c 10

сгенери­ру­ет па­роль из сим­во­лов из на­бо­ра a – zA-Z0 – 9. Он бу­дет дли­ной 10 сим­во­лов и до ужа­са слу­чай­ным, так что его на­вер­ня­ка при­дет­ся за­пи­сать.

Есть бо­лее слож­ные ути­ли­ты, наподобие apg, ко­то­рые уме­ря­ют свой пыл до че­го-то удобопро­из­но­си­мо­го, ес­ли, конеч­но, вы смо­же­те про­изнести вслух “ghavTi9graf”. И, ра­зу­ме­ет­ся, су­ще­ст­ву­ют такие сай­ты, как freepasswordgenerator.com, ко­то­рые сгенери­ру­ют для вас па­роль ука­зан­ной дли­ны из предложен­но­го на­бо­ра сим­во­лов.

Двух­фак­тор­ная ау­тен­ти­фи­ка­ция

В схе­ме двух­фак­тор­ной ау­тен­ти­фи­ка­ции нуж­но пред­ста­вить два неза­ви­си­мых удо­сто­ве­рения сво­ей лич­но­сти. Ча­ще все­го пер­вое – «то, что вы знае­те» (па­роль или PIN-код), а вто­рое – «то, что у вас есть» (бан­ков­ская кар­та или ключ на USB-брел­ке). Ре­же одним из до­ка­за­тельств вы­сту­па­ет «то, чем вы яв­ляе­тесь» (на­при­мер, от­пе­ча­ток паль­ца или да­же изо­бра­жение сет­чат­ки гла­за). Ска­жем, в бан­ко­ма­те ис­поль­зу­ет­ся двух­фак­тор­ная ау­тен­ти­фи­ка­ция – вам нуж­но вста­вить кар­ту и вве­сти PIN-код.

Обрати­те внимание, что за­прос двух па­ро­лей НЕ является двух­фак­тор­ной ау­тен­ти­фи­ка­цией!

Се­те­вая фай­ло­вая сис­те­ма

NFS – про­то­кол об­ще­го дос­ту­па к фай­лам в сис­те­мах UNIX и Linux. Он зре­лый, ста­биль­ный, про­стой в ад­ми­ни­ст­ри­ро­ва­нии и не­ве­ро­ят­но по­лез­ный.

(thumbnail)
> В фай­ле /etc/exports (на сер­ве­ре) за­да­ют­ся экс­пор­ти­руе­мые фай­ло­вые сис­те­мы. Для бо­лее под­роб­ной ин­фор­ма­ции за­пус­ти­те man exports.

Попросту го­во­ря, NFS по­зво­ля­ет смон­ти­ро­вать часть фай­ло­вой сис­те­мы сер­ве­ра в фай­ло­вую сис­те­му ком­пь­ю­те­ра кли­ента. При долж­ной на­строй­ке он про­зра­чен, то есть конеч­ные поль­зо­ва­те­ли не ощущают разницы в досту­пе к локаль­ным и уда­лен­ным фай­лам. NFS был од­ной из пер­вых ве­щей в се­тях UNIX (они на мно­го лет опе­ре­ди­ли се­ти Linux), с ко­то­ры­ми я столк­нул­ся, за­пуская сеть ра­бо­чих стан­ций Sun в Универ­си­те­те Шеф­фил­да. Мы поль­зо­ва­лись им для цен­тра­ли­за­ции до­машних ка­та­ло­гов поль­зо­ва­те­лей на несколь­ких сер­ве­рах, и я со­мнева­юсь, что хоть один из этих поль­зо­ва­те­лей знал, что про­ис­хо­дит.

Что­бы пре­вра­тить ком­пь­ю­тер с Linux в фай­ло­вый сер­вер NFS, нуж­но уста­но­вить де­мо­ны mountd, nfsd и portmapper. В мо­ей тес­то­вой сис­те­ме Fedora 15 все они на­хо­ди­лись в па­ке­те nfs-utils (он мо­жет быть уста­нов­лен по умол­чанию). На сер­ве­ре файл /etc/exports оп­ре­де­ля­ет, ка­кие час­ти фай­ло­вой сис­те­мы экс­пор­ти­ро­вать и ка­ким кли­ен­там. Не­сколь­ко строк из это­го фай­ла с по­яснения­ми по­ка­за­ны на ри­сун­ке. Ес­ли вы при­шли из Windows, то эти экс­пор­ти­ро­ван­ные ка­та­ло­ги ана­ло­гич­ны «ка­та­ло­гам с об­щим досту­пом», но об­ра­ти­те внимание, что в Windows об­ще­му ка­та­ло­гу да­ет­ся имя (оно мо­жет от­ли­чать­ся от имени са­мо­го ка­та­ло­га), а в NFS это­го до­полнитель­но­го уров­ня име­но­вания нет. Имя экс­пор­ти­руе­мо­го ка­та­ло­га в фай­ло­вой сис­те­ме сер­ве­ра – это имя, под ко­то­рым его ви­дит кли­ент.

====Бо­лезнь .d

NFS недав­но под­хва­тил бо­лезнь .d, об­щий сим­птом со­вре­мен­ных ди­ст­ри­бу­ти­вов Linux, в ко­то­рых один файл на­строй­ки (/etc/exports) пре­вра­ща­ет­ся в ка­та­лог та­ких фай­лов (в /etc/exports.d); но ес­ли вы хо­ти­те по­мес­тить все в файл «верхнего уров­ня» (/etc/exports), та­кая воз­мож­ность еще есть.

Спе­ци­аль­ной кли­ент­ской про­грам­мы (вро­де Thunderbird для поч­то­во­го сер­ве­ра POP3) на сто­роне кли­ен­та нет; на­стоя­щая кли­ент­ская часть NFS на­хо­дит­ся на уровне вир­ту­аль­ной фай­ло­вой сис­те­мы, что по­зво­ля­ет смон­ти­ро­вать экс­пор­ти­ро­ван­ную фай­ло­вую сис­те­му NFS в фай­ло­вую сис­те­му кли­ен­та. Для мон­ти­ро­вания вруч­ную (нуж­ны пра­ва root) ско­ман­дуй­те

  1. mount -t nfs pluto.example.com:/exports /home

Сделайте мон­ти­ро­ва­ние «по­сто­ян­ным», до­ба­вив в /etc/fstab стро­ку

pluto.example.com:exports /home nfs hard,intr 0 0

Да вы кем се­бя во­об­ра­жае­те?

При вы­полнении за­про­са сер­ве­ру NFS чи­сло­вые иден­ти­фи­ка­то­ры поль­зо­ва­те­ля (UID) и груп­пы (GID) кли­ен­та пе­ре­да­ют­ся сер­ве­ру, где они ис­поль­зу­ют­ся для про­вер­ки прав досту­па. Это ра­бо­та­ет пре­крас­но, ес­ли вы используете LDAP (или да­же ста­рые до­б­рые «Жел­тые страницы»), по­то­му что иден­ти­фи­ка­то­ры поль­зо­ва­те­ля бу­дут оди­на­ко­вы на всех ком­пь­ю­те­рах. Но ес­ли нет, мо­жет возник­нуть си­туа­ция, при ко­то­рой UID Джо­на на кли­ен­те бу­дет сов­па­дать с UID Мэ­ри на сер­ве­ре, и тогда Джон за­вла­де­ет фай­ла­ми Мэ­ри. А это нехо­ро­шо.

Осо­бый слу­чай – поль­зо­ва­тель root. Ес­ли я ра­бо­таю на кли­ен­те от имени root, мой UID на сер­ве­ре из­ме­ня­ет­ся так, что на сер­ве­ре я вы­сту­паю как поль­зо­ва­тель “nfsnobody” (или “nobody”, в за­ви­си­мо­сти от ди­ст­ри­бу­ти­ва). Обыч­но это непри­ви­ле­ги­ро­ван­ная учет­ная запись, по­то­му что (про­сти­те за зло­упот­реб­ление от­ри­цания­ми) нико­му (nobody) не при­над­ле­жат ника­кие фай­лы. И хо­тя на кли­ен­те я root, на сер­ве­ре я по­лу­чу пра­ва досту­па для всех фай­лов как «осталь­ные». От­клю­чить этот ме­ханизм мож­но, до­ба­вив па­ра­метр no_root_squash в /etc/exports (но толь­ко ес­ли вы полностью до­ве­ряе­те кли­ент­ским ком­пь­ю­те­рам). До­ба­вив па­ра­метр all_squash, вы вклю­чите этот ме­ханизм для всех поль­зо­ва­те­лей.

Уз­нать боль­ше

(thumbnail)
> В фай­ле /etc/exports (на сер­ве­ре) за­да­ют­ся экс­пор­ти­руе­мые фай­ло­вые сис­те­мы. Для бо­лее под­роб­ной ин­фор­ма­ции за­пус­ти­те man exports.

На man-странице exports син­так­сис фай­ла /etc/exports опи­сан бо­лее под­роб­но, чем я по­ка­зал на ри­сун­ке. На man-странице для NFS опи­са­ны мно­гие оп­ции, ко­то­рые мож­но ис­поль­зо­вать с ко­ман­дой mount или до­ба­вить в файл fstab. В ча­ст­но­сти, мож­но ис­сле­до­вать па­ра­мет­ры “hard” и “soft”, ко­то­рые оп­ре­де­ля­ют по­ве­дение (на сто­роне кли­ен­та), ес­ли он пы­та­ет­ся по­лу­чить доступ к уда­лен­но­му фай­лу, когда сер­вер вы­клю­чен. Па­ра­метр “hard” за­ста­вит кли­ен­та ждать до тех пор, по­ка сер­вер не вклю­чит­ся. С па­ра­мет­ром “soft” кли­ен­ту бу­дет от­прав­ле­на ошиб­ка по ис­те­чении тай­мау­та опе­ра­ции чтения или за­пи­си.

Ста­тей по­ безо­пас­но­сти и за­щи­те фай­лов очень много. Они слож­новаты, но скра­сят вам дожд­ли­вый день... на­вер­ное. |

Персональные инструменты
купить
подписаться
Яндекс.Метрика