061010
Kapitel 8
NFS testar
/etc/exports - vilka filsystem ska man dela ut
/etc/hosts.allow - vilka maskiner som får ansluta
/etc/hosts.deny - vilka maskiner som inte får ansluta, kollas först
nfs start
portmapper start - starta portmapper
TCP Socket
Socket - Pipe, fast åt båda hållen
En server kan svara på en anslutning och ansluta tillbaka via den, fördelen är att flera användare kan använda samma port.
NFS öppnar en socket för varje fil, då sockets är uppbyggda i 16-bit så kan dessa ta slut om man har flera användare.
Portmapper är till för att öppna fler portar så att det kan bli fler än 65535 connections.
Säkerheten
är baserad på tanken att en användare är korrekt autentiserad och att
klienten är betrodd, det finns alltså ingen autentisering inbyggd, det
är ett av skälen till att hosts.allow och .deny är så viktiga, annars
kan folk trivialt logga in utifrån, den kräver alltså bara UID och GID (User ID, Group ID).
Samtliga säkerhetslösningar för NFS är ganska buggiga i linux.
Kerberos
är det vanligaste försöket till att kräva autentisering. Det lägger sig
mellan servern och klienten och ger rättigheter baserat på sånt. Den
agerar med s.k. tickets som ger befogenheterna under en viss
tidsperiod, ofta från 10 minuter till 12 timmar, det är till för att
minska antalet requests på servern för att spara kapacitet.
Starta om NFS:
/etc/init.d/nfs restart
kör:
/etc/init.d/nfs stop
/etc/init.d/nfs start
/var/run/ftp.pid
kill -1 [pid]
portmapper restart
Remote filesystem protocols
NFS (network filesystem)
CIFS (Common Internet File System, smb, samba)
AFP (apple filing protocol)
WebDAV (skapades för att hantera filer via browsers, bra för synkronisering)
Saker som ska stå i böckerna som vi går igenom:
Remote Blcok Device Protocols
SAN (Storage area network)
NAS (Networked Attached storage)
File sharing via NFS
NFSv4 (stödjer kerberos bra)
NFS Clients
Autofs - bra för labben, låta användaren initiera montering
NFS Server configuration
root squash - filer som läggs in av root är underprivilegierade
Implementing NFSv4
behöver rpc-idmap
viktigt för filer på flertalet GB
behöver -t nfs4 vid mount
AutoFS
Icke-priviliegierade kan triggra montering
Avmonterar automatiskt när det inte används längre
/net används för sådant
Accessing windows/samba shares from linux
smbclient
fungerar ungefär som FTP
smbfs/cifs
Monterar det på ett unixaktigt vis så att man kan agera med det som man vill
net
SAN Multipathing
Redundans för nätverkslagring
iSCSI Architecture
Montera diskar över nätet som om de vore scsi-diskar
Fotnoter:
Windows AD kör kerberos.
LDAP - Lightweight Directory Access Protocol - komplext verktyg,
ISO protokoll - Internation Standardization Organisation
OSI modellen
Togs fram för att bättre kunna beskriva hur ISO-protokollen skulle fungera
x.500 Directory
Fungerar lite som DNS
Det skapades av telebolag innan nätverk existerade
på riktigt, så de missade en hel del relevanta saker eftersom de inte
visste vilka behov de i verkligheten hade. Det slog aldrig för det var
för komplext, LDAP skapades för att det var en mer lättviktig version
av x.500, dock är det fortfarande tungt och trögt.
NIS - Network
Information Service - det är i huvudsak till för central
användarhantering, det används i dagsläget primärt på organisationer
som har kört det sen länge.
LDAP är som vilken databas som helst, det finns ingen standard på hur man lägger in saker.
När
ens DNS-server får en request så svarar den inte direkt utan skickar
förfrågan runt till diverser andra tjänster tills de får ett svar,
nästa gång det görs så har den cachat adressen så det går snabbare och
smidigare.
SCSI
SAS=Serial Attached SCSI
Det som skiljer SCSI från vanliga diskar är att de är byggda för att
hålla under hög belastning och är snabbare