NFS: Option subtree_check

29/11/2012 - 09:43 von Thomas Wildgruber | Report spam
Hi Group,

ich tue mir grade schwer damit, die NFS Export Option subtree_check bzw
no_subtree_check verstàndlich zu erklàren. Mehr als die wörtliche
Übersetzung der Manpage oder auch anderen Seiten, welche sich mit NFS
beschàftigen, fàllt mir dazu nicht ein.

snip
Why should I disable subtree checking on my NFS server exports?

A. When an NFS server exports a subdirectory of a local file system,
but leaves the rest unexported, the NFS server must check whether each NFS
request is against a file residing in the area that is exported. This check
is called the subtree check.

To perform this check, the server includes information about the parent
directory of each file in NFS file handles that are handed out to NFS
clients. If the file is renamed to a different directory, for example, this
changes the file handle, even though the file itself is still the same
file. This breaks NFS protocol-compliance, often causing misbehavior on
clients such as ESTALE errors, inappropriate access to renamed or deleted
files, broken hard links, and so on.

In the opinion of many, subtree checking causes much more trouble than
it saves, and should be avoided in most cases. The subtree_check option is
necessary only when you want to prevent a file handle guessing attack from
gaining access to files that fall outside the exported part of your
server's local file systems. If you need to be certain that noone can
access files outside the exported part of a local file system, set up the
partitions on your server so that you only export whole file systems.
snap

Soweit so gut. Das Problem, dass ich mit dieser (doch sehr ausführlichen)
Erklàrung habe ist, dass eine Datei in einem exportierten Verzeichnis für
einen NFS Client doch nur solange erreichbar ist, solange sie in einem
exportierten Verzeichnis liegt. Wird die Datei in einen nicht exportierten
Bereich verschoben, ist sie doch ausserhalb der Reichweite des
NFS-Clients...?

Ich habe diverse Tests gemacht, eine Textdatei in einem exportierten
Verzeichnis angelegt und von einem NFS Clients diese Datei geöffnet
gehalten (vi), wàhrend ich sie am NFS Server verschoben oder umbenannt
habe, hat sie der (Client) vi einfach dort neu angelegt, wo sie
ursprünglich gewesen ist. Warum auch nicht...?

Wie könnte ich jetzt einen Fall konstruieren, wie er zB oben in der
Erklàrung angedeutet wird, der anschließend zu einem Fehler führt...?

Thx & Bye Tom
"Wenn jemand behauptet im Kühlschrank ist Bier und man sieht nach, ist das
Wissenschaft.Wenn jemand behauptet im Kühlschrank ist Bier und keiner sieht
nach, ist das Theologie.Wenn im Kühlschrank kein Bier ist und jemand
behauptet es dennoch, ist das Esoterik" (Vince Ebert)
 

Lesen sie die antworten

#1 Michael Kohaupt
29/11/2012 - 10:21 | Warnen spam
Am 29.11.2012 09:43, schrieb Thomas Wildgruber:

dass eine Datei in einem exportierten Verzeichnis für
einen NFS Client doch nur solange erreichbar ist, solange sie in einem
exportierten Verzeichnis liegt. Wird die Datei in einen nicht exportierten
Bereich verschoben, ist sie doch ausserhalb der Reichweite des
NFS-Clients...?



Richtig -

Ich habe diverse Tests gemacht, eine Textdatei in einem exportierten
Verzeichnis angelegt und von einem NFS Clients diese Datei geöffnet
gehalten (vi), wàhrend ich sie am NFS Server verschoben oder umbenannt
habe,



Das ist der Knackpunkt.
Wàhrend die Datei geöffnet ist, also beim Client im RAM liegt, kann man
sie zwar beliebig woanders hin kopieren, aber ein verschieben oder
umbenennen dürfte/sollte gar nicht möglich sein.

hat sie der (Client) vi einfach dort neu angelegt, wo sie
ursprünglich gewesen ist. Warum auch nicht...?



Alles i. O.

Wie könnte ich jetzt einen Fall konstruieren, wie er zB oben in der
Erklàrung angedeutet wird, der anschließend zu einem Fehler führt...?



Auf dem NFS Server muss ops-lock eingeschaltet sein. Bedeutet, dass
solange eine Datei geöffnet ist, diese für jeden weiteren Zugriff
gesperrt ist. Auch ein löschen, umbenennen, verschieben "sollte" dann
nicht möglich sein.

Gruss
Michael
Desktopvideos mit Ton
vokoscreen -> Screencastprogramm für OpenSuse/Ubuntu/Debian unter
www.kohaupt-online.de/hp

Ähnliche fragen