/etc/exports
, donne les répertoires exportés à l'extérieur. À chaque partage NFS sont associées des machines qui ont le droit d'y accéder. Un certain nombre d'options permettent de dicter quelques règles d'accès. Le format de ce fichier est très simple :
/repertoire/a/partager machine1(option1,option2,...) machine2(...) ...
fsid=0
ou fsid=root
.
*.falcot.com
ou en décrivant une plage complète d'adresses IP (exemples : 192.168.0.0/255.255.255.0
, 192.168.0.0/24
).
ro
comme read only). L'option rw
(comme read-write) donne un accès en lecture/écriture. Les clients NFS doivent se connecter depuis un port réservé à root (c'est-à-dire inférieur à 1 024) à moins que l'option insecure
(« pas sûr ») n'ait été employée (l'option secure
— « sûr » — est implicite en l'absence de insecure
, mais on peut quand même la mentionner).
sync
). L'option async
(asynchrone) désactive cette fonctionnalité et améliore quelque peu les performances, au détriment de la fiabilité puisqu'il subsiste alors un risque de perte de données en cas de crash du serveur (des données acquittées par le serveur NFS n'auront pas été sauvegardées sur le disque avant le crash). La valeur par défaut de cette option ayant changé récemment (par rapport à l'historique de NFS), il est recommandé de toujours mentionner explicitement l'option souhaitée.
nobody
user. This behavior corresponds to the root_squash
option, and is enabled by default. The no_root_squash
option, which disables this behavior, is risky and should only be used in controlled environments. If all users should be mapped to the user nobody
, use all_squash
. The anonuid=uid
and anongid=gid
options allow specifying another fake user to be used instead of UID/GID 65534 (which corresponds to user nobody
and group nogroup
).
sec
pour préciser le niveau de sécurité souhaité : sec=sys
est la valeur par défaut sans aucune sécurité particulière, sec=krb5
active uniquement l'authentification, sec=krb5i
y ajoute une protection d'intégrité, et sec=krb5p
est le plus haut niveau qui inclut la protection de la confidentialité (avec le chiffrement des données). Pour que cela puisse marcher, une installation fonctionnelle de Kerberos est nécessaire (ce service n'est pas traité par ce livre).
mount
command and the /etc/fstab
file.
Exemple 11.19. Montage manuel avec la commande mount
#
mount -t nfs4 -o rw,nosuid arrakis.internal.falcot.com:/shared /srv/shared
Exemple 11.20. Entrée NFS dans le fichier /etc/fstab
arrakis.interne.falcot.com:/partage /srv/partage nfs4 rw,nosuid 0 0
/shared/
from the arrakis
server into the local /srv/shared/
directory. Read-write access is requested (hence the rw
parameter). The nosuid
option is a protection measure that wipes any setuid
or setgid
bit from programs stored on the share. If the NFS share is only meant to store documents, another recommended option is noexec
, which prevents executing programs stored on the share. Note that on the server, the shared
directory is below the NFSv4 root export (for example /export/shared
), it is not a top-level directory.