Bonsoir
Regis Gras a écrit :
> alors, le montage NFS s'effectue correctement, et dans /var/log/messages
> de la machine serveur
> je trouve maintenant:
> serveur rpc.mountd: authenticated mount request from client:646 for
> /dufy/icmg1/Trash (/dufy/icmg1/Trash)
>
> D'ou ma nouvelle question
> Quel service faudrait il autoriser dans /etc/hosts.allow du serveur pour
> la machine cliente.
Sur la machine SERVEUR, il te faut autoriser l'accès à portmap de la
part du client :
/etc/hosts.allow :
portmap: [adresse IP du client, ou réseau client]
exemple :
portmap: 192.168.0.100
portmap: 192.168.0.0/255.255.255.0
Sur la machine CLIENTE, il faut que tu autorises la commande "mount" à
dialoguer en locale (loopback) avec le "portmap" :
/etc/hosts.allow :
portmap: [adresse IP loopback]
exemple :
portmap: 127.0.0.1/255.0.0.0
D'une manière générale, si tu veux avoir une sécurité pas trop mauvaise
sur tes machines,il te faut :
- Par défaut, tu interdis tout les services basés sur la "libwrap" :
/etc/hosts.deny :
ALL: ALL
- Et tu autorises toutes les connexions en loopback. Pourquoi cela ?
C'est pour que ta machine ne soit pas trop perturbées par des
restrictions trop importantes lorsqu'elle accède elle-même à ses
services. Il y a bon nombre de softs qui utilisent la "libwrap", et ce
n'est pas forcément évident de le savoir :
/etc/hosts.allow :
ALL: 127.0.0.0/255.0.0.0
- Après, tu autorises un a un les services dont tu as besoin, comme par
exemple sur ton serveur, l'accès au portmap pour ton client NFS. :
/etc/hosts.allow :
portmap: 192.168.0.100
La méhode indiquée ci-dessus, est assez "bourine", car elle est pas mal
restrictive. Il est possible qu'avec ceci, certains de tes services ne
soient plus disponibles. Mais c'est le prix à payer pour plus de sécurité !
A titre info, j'ai par exemple dans mon /etc/hosts.allow:
<extrait>
# (2003/12/15) Serveur POP3 (récupération de mails), lancé sous
# contrôle de xinetd
ipop3d: 127.0.0.0/255.0.0.0
# (2003/12/19) Serveur SSH
sshd: 192.168.0.0/255.255.255.0
# (2003/12/27) Serveur FTP
# On autorise tout, car la protection se fait au niveau de xinetd
# Mais sans cela, xinetd refuse la connexion...
proftpd: ALL
# (2004/07/22): Rajout des softs de saturation de réseau
chargen: 192.168.0.0/255.255.255.0
echo: 192.168.0.0/255.255.255.0
# TODO: Explication à rajouter pour le XDMCP
kdm: 192.168.0.0/255.255.255.0
</extrait>
A plus,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
