Re: Montage NFS: Solution (presque)

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: guilde
題目: Re: Montage NFS: Solution (presque)
    Bonsoir

Regis Gras a écrit :
> alors, le montage NFS s'effectue correctement, et dans /var/log/messages
> de la machine serveur
> je trouve maintenant:
> serveur rpc.mountd: authenticated mount request from client:646 for
> /dufy/icmg1/Trash (/dufy/icmg1/Trash)
>
> D'ou ma nouvelle question
> Quel service faudrait il autoriser dans /etc/hosts.allow du serveur pour
> la machine cliente.


    Sur la machine SERVEUR, il te faut autoriser l'accès à portmap de la 
part du client :
/etc/hosts.allow :
    portmap: [adresse IP du client, ou réseau client]
exemple :
    portmap: 192.168.0.100
    portmap: 192.168.0.0/255.255.255.0


    Sur la machine CLIENTE, il faut que tu autorises la commande "mount" à 
dialoguer en locale (loopback) avec le "portmap" :
/etc/hosts.allow :
    portmap: [adresse IP loopback]
exemple :
    portmap: 127.0.0.1/255.0.0.0



    D'une manière générale, si tu veux avoir une sécurité pas trop mauvaise 
sur tes machines,il te faut :
- Par défaut, tu interdis tout les services basés sur la "libwrap" :


/etc/hosts.deny :
    ALL: ALL


- Et tu autorises toutes les connexions en loopback. Pourquoi cela ?
C'est pour que ta machine ne soit pas trop perturbées par des
restrictions trop importantes lorsqu'elle accède elle-même à ses
services. Il y a bon nombre de softs qui utilisent la "libwrap", et ce
n'est pas forcément évident de le savoir :

/etc/hosts.allow :
    ALL: 127.0.0.0/255.0.0.0



- Après, tu autorises un a un les services dont tu as besoin, comme par 
exemple sur ton serveur, l'accès au portmap pour ton client NFS. :
/etc/hosts.allow :
    portmap: 192.168.0.100



    La méhode indiquée ci-dessus, est assez "bourine", car elle est pas mal 
restrictive. Il est possible qu'avec ceci, certains de tes services ne 
soient plus disponibles. Mais c'est le prix à payer pour plus de sécurité !


    A titre info, j'ai par exemple dans mon /etc/hosts.allow:


<extrait>
# (2003/12/15) Serveur POP3 (récupération de mails), lancé sous
# contrôle de xinetd
ipop3d: 127.0.0.0/255.0.0.0

# (2003/12/19) Serveur SSH
sshd: 192.168.0.0/255.255.255.0

# (2003/12/27) Serveur FTP
# On autorise tout, car la protection se fait au niveau de xinetd
# Mais sans cela, xinetd refuse la connexion...
proftpd: ALL


# (2004/07/22): Rajout des softs de saturation de réseau
chargen: 192.168.0.0/255.255.255.0
echo: 192.168.0.0/255.255.255.0

# TODO: Explication à rajouter pour le XDMCP
kdm: 192.168.0.0/255.255.255.0
</extrait>

    A plus,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!