和訳 OpenBSD FAQ 6.7 - Simple NFS usage

release(8) に続き第2弾


このとおりにやってもPermision deniedなってうまくいかんかったが。
気にしない気にしない。



http://www.openbsd.org/faq/faq6.html#NFS

オリジナルは上記URLのドキュメントです。
上記URLのドキュメントの一部を日本語訳したものです
 翻訳した内容について一切の保証はありません。



6.7 - Simple NFS usage NFSの単純な使い方

NFS、Network File System はネットワーク越しでファイルシステムを共有するために使われる。NFSサーバのセットアップに取りかかる前に読んでおくmanページをいくつか示す

このセクションは単純なNFSのセットアップのためのステップを通過するだ
ろう。この例はあるLAN上のクライアントがそのLAN上でNFSアクセスする サーバの詳細を説明する。ここでは安全を考慮したNFSについ
ては述べない。あなたがすでにパケットフィルタリングあるいはその他のファイヤーウォール防御をセットアップして外部アクセスを禦いでいることを想定す
る。あなたがNFSサーバへ外部アクセスを許可していて、敏感なたぐいのデータをその上に格納するなら、我々はIPsecの採用を強く勧める。さもなく
ば、他の人があなたのNFSトラフィックを潜在的に見ることができる。あなたのNFSサーバへ許可している
IPアドレスを誰かが偽装することだってあり得る。そのような結果になるような攻撃はいくつかある。適切に設定されたIPsecはこれらのタイプの攻撃に対して防御する。


う一つ重要な安全上の注意。 許可ホストのリストをせず
/etc/exportsへファイルシステムを追加してはならない。個別のディレクトリをマウントできる
hostsのリストなしでは、あなたのホストへ到達可能な誰もが NFS exports をマウントできてしまうだろう。


portmap(8) はNFS を実行するために起動していなければならない。 Portmap(8) はOpenBSDではデフォルトでOffになっているのでブート時に開始するには rc.conf.local(8)に下記を追加しなくてはならない。

portmap=YES
 手動で起動することもできる:
# /usr/sbin/portmap
セットアップはIP 10.0.0.1 をもったサーバから成る。このサーバは そのネットワーク内のクライアントのためだけにNFSを提供するだろう。NFSセットアップの最初のステップは/etc/exportsファイルを作ることである。 このファイルはあなたがNFS経由でアクセス可能にしたいと思うファイルシステムのリストとそこへ誰がアクセスできるかのかを定義する。/etc/exportsファイルにおいてあなたが用いることのできるオプションは数多くあり、 それには 
exports(5)
man ページを読むのがもっともよい。この例ではこんな風な /etc/exportsがあるとする。
#
# NFS exports Database
# See exports(5) for more information.  Be very careful, misconfiguration
# of this file can result in your filesystems being readable by the world.
/work -alldirs -ro -network 10.0.0 -mask 255.255.255.0

これが意味するところは ローカルファイルシステム/workがNFS経由で使用できることをである。-alldirsはクライアントが /work マウントポイントの下でどのポイントもマウントできるよう指定する。 -roはそれがRead-Onlyでマウントされることを許可する。最後の2項目はネットマスク255.255.255.0 の ネットワーク10.0.0.0 内でのクライアントのみが、このファイルシステムをマウントするように認証される事を指定している。このことは異なるネットワークへアクセスできるようなサーバにとって重要である。

まず /etc/exports f
ファイルをセットアップしたら、あなたは先に進んでNFSサーバのセットアップすることが出来る。
あなたはカーネル構成においてNFSSERVERとNFSCLIENTのオプションを最初に確認すべきだ。(GENERICカーネルはこれらのオプション
を持っている。)次に下記の行を/etc/rc.conf.localに加えるべきだ。

nfs_server=YES

れでリブート時にnfsd(8)とmountd(8)の両方を立ち上げるようになる。今、このまま進んで自分で起動することもできる。これらのデーモンは
rootで起動する必要があり、あなたはportmap(8)がシステムで動作していることを確認する必要がある。 ここでは
��つのデーモンを使用するTCPとUDP両方を提供する nfsd(8)が起動する例 を示す。あなたはNFSサーバの適切な数をあなたが提供したい最大クライアントユーザ数にあわせてセットすべきだ。
# /sbin/nfsd -tun 4

nfsd(8)サーバを起動するだけでなく、あなたはmountd(8)も開始する必要がある。これはNFS上でマウント要求を実際に提供するデーモンである。mountd(8)を起動するためには空のmountdtabファイルの存在を確かめて、デーモンを開始する。

# echo -n >/var/db/mountdtab
# /sbin/mountd

もしすでにNFS稼働中に/etc/exportsを変更するなら、mountdにこの変更を気づかせる必要がある。HUPするだけである。

# kill -HUP `cat /var/run/mountd.pid`

Checking Stats on NFS



ここからは すべてのデーモンが起動していてRPCに登録されているかを確認することができる。そのためには rpcinfo(8)を使う。

$ rpcinfo -p 10.0.0.1
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100005    1   udp    633  mountd
    100005    3   udp    633  mountd
    100005    1   tcp    916  mountd
    100005    3   tcp    916  mountd
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
通常の使用において、NFSについて何が起きているかを見えるようにする2,3の他のユーティリティがある。その一つがshowmount(8),
で、現在 何がマウントされて誰がマウントしているかを眺めることができる。 nfsstat(8)もそうで、より多くの冗長な統計を表す。
showmount(8) を使うアメには、/usr/bin/showmount -a ホスト名   を打ってみる。たとえば、
$ /usr/bin/showmount -a 10.0.0.1
All mount points on 10.0.0.1:
10.0.0.37:/work

Mounting NFS Filesystems  NFSファイルシステムのマウント

NFSファイルシステムはmount(8)、もっと限定するならmount_nfs(8) を通じてマウントされるべきである。ホスト 10.0.0.1上のファイルシステム/workをローカルファイルシステム/mntにマウントするには こうする (あなたはかならずしも IPアドレスを使う必要はない。mountはホスト名を解決する)

# mount -o ro -t nfs 10.0.0.1:/work /mnt
ブート時にあなたのシステムにマウントをさせるには、/etc/fstab にこんな風に追加する。
10.0.0.1:/work /mnt nfs ro 0 0

行の最後に 0 0を使うと、ブート時にコンピュータはNFS ファイルシステムに対してfsckを行うとしないので重要だ。noexec と nodev、nosuidといったような 他の標準のセキュリティオプションも適用可能な場所で使われるべきだ。次のように:

10.0.0.1:/work /mnt nfs ro,nodev,nosuid 0 0
この方法なら NFSサーバ上のデバイス あるいはsetuidプログラムはNFSクライアント上でのセキュリティ対策を壊さない。あなたがNFSクライアントで動くと思っているプログラムをマウントしていないなら、noexecをこのリストに加える。

コメント

コメントを投稿

「コメントを投稿できるユーザー」の範囲は変更される可能性があります。

このブログの人気の投稿

4.3.0 Temporary Lookup Failureでドツボってた話

ここ3週間くらいちらちらとテスト用postfix設定しててthunderbirdとかのメールクライアントからメール送信テストしてたんだがどうにもクライアントからメール送信が出来なくて悩んでたんだがサーバログ見たら一発で解決した。 送信時にMUA側に現れるエラー 4.3.0 Temporary Lookup Failure クライアントのSTMP設定変えてみてもSSLとか認証有無、パスワード暗号化は関係なく出る様子。linuxローカルからはメールはメールボックスに遅れてる。 dovcotやsaslauthdの設定変えても変わらず。 linuxローカルでmailコマンド使うとサーバ内の他のアドレスのメールボックスにはちゃんと届く。 ググっても4.3.0はユーザーに外部DB使ってるような場合しかないぽい。 サーバログ/var/log/maillogをtail -fして送信要求時のログをおいかけると mynetworksのフォーマットがなんか間違えてるとか出てる mynetworks = 172.30.0.0./16, 192.168.1.0/24 あ、この./16の.がいかんのか。他の場所で$mynetworks使ってるし。 main.cf からこの.を取っ払ってpostfix再起動したら治った。
続きを読む

tomcat起動時の環境変数でJRE_HOMEを指定するときに

JAVA _HOME=にJREのパスを指定してちゃ駄目。 JDKがなくてもJREだけでもtomcatは動かせる。(すくなくともtomcat6以降では) JSPも動作する。 JREを使いたいときは、 JRE _HOMEを指定するだけでなく、 JAVA_HOMEにJREのパスその他が入っていないように未定義にしてやらないと怒られた。 C:¥apache-tomcat-7.0.2¥bin>startup The JAVA_HOME environment variable is not defined correctly This environment variable is needed to run this program NB: JAVA_HOME should point to a JDK not a JRE 意訳「JAVA_HOMEには JDKを指定しろよ、JREじゃなくてよぉ。」 Windowsなら、 set JAVA_HOME= とすればOK。 JUGEMテーマ: コンピュータ
続きを読む

何が得られて何処へ向かうかだけを問うべき

俳優の伊勢谷友介、2chの名無しに怒り 「焼身自殺と言う命をかけた行動を、狂人扱いし、卑下することは許せない」 : 痛いニュース(ノ∀`) http://blog.livedoor.jp/dqnplus/archives/1801608.html 焼身自殺試みた人の主張には同意、共感、理解、何れもできない。出来ないけど伊勢谷氏の言うことにも一分くらいは理がありそう。 ただ命を掛けた行動なら無条件で褒められるべきではなく、行動の妥当性を以ってキチガイかどうか判断すべき。 政治的主張としての◯◯ (◯◯は任意の行動。今回の場合は焼身自殺) 評価するポイント その行動が今後の社会の動向に反映されるかどうか この行動を見て社会が集団的自衛権の行使はしない方がいいんじゃないかなあ、と考える様になれば本懐は遂げたといえる。  今回はどうか。 人混みでパフォーマンスをする→ 注目を浴びて多くの人に問題提起はできた◯ 同意してくれそうか→むつかしいんじゃないか。傍迷惑すぎる。警察も役所も大変。 いや、「先の大戦で徴兵と空爆で一家離散悔しい2度とさせない」とか「安部政権はこの法案のために我々の家族や無辜の民を犠牲にした」、「実は政府首脳は中国に国を来るための工作でその証拠を見つけたが握り潰された」とかストーリーがあればああそうですかとおもわなくもないのですよ。是非は別として。 命を掛けて世の中に質問を投げかけたという意味では良くやったと思うけど、普通に出版とかで企画したほうが持続的な影響は持てるのではないでしょうか。 問題だけ考えるなら自分としては容認派だし考えはかわらないなあ。 というとネトウヨの戯言とか言われそうなので左巻きの方でも、こいつはキチガイだ!と認定しそうな事件を想定してみる。 「集団的自衛権の行使を実現するために焼身自殺」 「原発再稼働を願って焼身自殺」 「九条改正を願って焼身自殺」 おわかりいただけただろうか… こんなのを擁護するしたら、その側にいることだけを表明しているに過ぎない。 それでも評価するなら別に良しとすべきだと思うけどもはや信仰の問題。
続きを読む