NFS es el protocolo más común para compartir archivos entre sistemas Unix a través de una red. Los servidores NFS exportan directorios desde sus discos duros locales a clientes NFS, que los montan para que se pueda acceder a ellos como a cualquier otro directorio. A diferencia de otros protocolos para compartir archivos, como redes de Windows, Netware y AppleShare, NFS se diseñó para admitir sistemas cliente que tienen varios usuarios. Esto significa que un cliente nunca inicia sesión en un servidor y que el servidor confía casi por completo en el cliente para autenticar a los usuarios. La desventaja es que NFS no es un buen protocolo para compartir archivos con sistemas cliente que no son de plena confianza.
En lugar de usar nombres de usuario y contraseñas para la autenticación, NFS usa la dirección IP del cliente. Solo los clientes de confianza pueden montar directorios desde el servidor, de modo que no sea vulnerable al acceso no autorizado a archivos desde cualquier cliente de la red. Se puede obtener algo de seguridad adicional restringiendo el acceso de usuarios particulares de Unix en un cliente, o tratando todas las solicitudes de un cliente como un solo usuario.
En Linux, el /etc/exports El archivo contiene una lista permanente de directorios exportados por NFS y los clientes a los que se exportan. Por lo general, los programas nfsd y mountd leen este archivo en el momento del arranque, que se ejecutan en segundo plano para atender las solicitudes de NFS. Cuando cambia o crea exportaciones usando Webmin, el archivo de exportaciones se actualiza directamente.
En Linux, la configuración del servidor NFS se realiza mediante Exportaciones NFS módulo que se puede encontrar en la categoría Redes. Después de ingresar al módulo, la página principal mostrará una lista de directorios exportados y los clientes que pueden acceder a ellos, como se muestra a continuación:
NFS sin ningún sistema de archivos exportadoLa mayoría de las distribuciones de Linux vienen con los programas necesarios para compartir archivos NFS instalados de forma predeterminada. Sin embargo, si Webmin detecta que faltan en su sistema, se mostrará un mensaje de error cuando ingrese al módulo. Si eso sucede, deberá instalar el servidor nfs o nfs paquete.
Contenido
Exportar un directorio
Solo los directorios de los sistemas de archivos locales se pueden exportar a través de NFS, por lo que no es posible volver a exportar archivos que se hayan montado desde otro servidor NFS. Tampoco es posible exportar directorios de sistemas de archivos que no sean Unix como vfat, ntfs o iso-9660. Si un directorio exportado tiene puntos de montaje debajo, los clientes NFS no podrán acceder a los archivos debajo de esos puntos de montaje. Entonces, si exportó el directorio raíz / y tiene un sistema de archivos separado montado en /home , necesitaría exportar también /home y los clientes tendrían que montarlo para ver los archivos debajo de él.
Crear exportación NFS v4Exportar detalles
- Directorio a exportar
- En lugar de montar una serie de exportaciones distintas, un cliente NFSv4 ve las exportaciones del servidor NFSv4 como si existieran dentro de un único sistema de archivos, denominado pseudosistema de archivos NFSv4. Entonces, para NFSv4, este directorio se monta primero (con mount --bind) en el pseudosistema de archivos NFSv4, el pseudosistema de archivos se exporta (si no lo fue), luego el directorio.
Es preferible exportar este directorio sin ocultarlo, así el cliente podrá moverse en él sin montarlo.
A diferencia de otros servidores NFS, Linux admite la reexportación de un directorio que se ha montado en NFS desde otro host y la exportación de un directorio que contiene puntos de montaje para otros sistemas de archivos. - Seudosistema de archivos NFSv4 para exportar
- Solo NSFv4 Por lo general, /exportar El directorio se utilizará para montar los directorios nfs exportados. Una entrada correspondiente en /etc/fstab se creará al crear una exportación nfsv4 dentro de un pseudosistema de archivos.
- Activo
- A menos que desee que la exportación no esté disponible, asegúrese de que la opción esté establecida en Sí .
- Exportar a
- elija qué clientes tendrán acceso al directorio. Las opciones posibles son :
- Todos Cualquier sistema que pueda conectarse al suyo a través de la red podrá montar el directorio. Tenga mucho cuidado con esta elección, ya que puede permitir que cualquier persona en Internet acceda a sus archivos.
- Anfitrión(es) Solo se permitirá el único host o dirección IP especificados. También puede ingresar un nombre de host comodín como *.foo.com para que esta opción permita todos los hosts de un dominio. Sin embargo, si desea exportar un directorio a varios hosts de clientes específicos, la única solución es crear varias exportaciones del mismo directorio, cada una con un nombre de host diferente en este campo.
- NIS Netgroup Un grupo de red es una lista de hosts que se define en un servidor NIS. Su sistema debe ser un cliente NIS para que esto sea útil.
- Red IPv4 Todos los hosts de la red especificada podrán conectarse. Para permitir todos los hosts con direcciones IP de 192.168.1.0 al 192.168.1.255 , ingresaría 192.168.1.0 para la red y 255.255.255.0 para la máscara de red.
- Red IPv6 Se permite el acceso a cualquier host en la subred especificada.
- Niveles de seguridad
- Solo NSFv4 Este campo determina qué niveles de seguridad deben usar los clientes. Se pueden seleccionar múltiples niveles y los niveles preferidos se probarán primero.
Seguridad de exportación
- Solo lectura
- Si desea evitar que los clientes modifiquen o creen archivos en el directorio exportado, seleccione Sí
- Confiar en usuarios remotos
- Todos si exporta solo a sistemas confiables. De forma predeterminada, no confíe en la cuenta raíz de otros sistemas.
- Tratar a los usuarios que no sean de confianza
- Esta opción determina qué usuario local se trata a los usuarios de clientes que no son de confianza. Puede ingresar un UID o seleccionar un usuario, o elegir el valor predeterminado. opción exportfs:anonuid predeterminado:-2 o nadie
- Tratar a los grupos no confiables como
- Esta opción determina qué grupos de clientes no confiables del grupo local se tratan. Puede ingresar un GID o seleccionar un grupo, o elegir el predeterminado. opción exportfs:anongid predeterminado:-2 o nadie
- Deshabilitar la comprobación de subárboles
- Esta opción desactiva la verificación de subárboles, lo que tiene implicaciones leves de seguridad, pero puede mejorar la confiabilidad en algunas circunstancias.
Si se exporta un subdirectorio de un sistema de archivos, pero no todo el sistema de archivos, cada vez que llega una solicitud NFS, el servidor debe verificar no solo que el archivo al que se accedió esté en el sistema de archivos apropiado (lo cual es fácil) sino también que esté en el árbol exportado (que es más difícil). - Sincronización inmediata de todas las escrituras
- Cuando esta opción está habilitada, todas las escrituras de NFS por parte de los clientes para esta exportación se escribirán en el disco antes de que se informe de éxito al cliente. Esto es más lento, pero asegura la integridad de los datos. Cuando la opción está deshabilitada, las escrituras de los clientes NFS pueden almacenarse en búfer hasta más tarde.
opciones de exportfs:sincronización, asíncrono predeterminado:habilitado (pero deshabilitado para versiones de nfs-utils anteriores a 1.0.0) - Hacer enlaces simbólicos relativos
- Esta es una opción específica de NFSv2. Convierte enlaces simbólicos absolutos vistos por el cliente en enlaces relativos. Por ejemplo, si el directorio /usr fue exportado, un enlace de /usr/local/bin a /usr/X11R6/bin se convertiría a ../X11R6/bin . Esto tiene mucho más sentido si el cliente está montando el directorio en otro lugar que no sea /usr .
- Los clientes deben estar en un puerto seguro
- Si se elige esta opción, los clientes NFS deben usar un puerto UDP o TCP inferior a 1024. Esto brinda seguridad adicional para los clientes Unix, pero puede interferir con algunas implementaciones de Windows NFS. opciones de exportfs:seguro, inseguro
- Denegar acceso al directorio
- Esta es una opción específica de NFSv2. Si se elige esta opción, los clientes especificados no podrán acceder a nada en este directorio. Esta opción solo es realmente útil si está exportando un directorio principal, pero qué denegar el acceso a algún subdirectorio. opción exportfs:sin acceso
- Ocultar el sistema de archivos
- Cuando se establece en Sí, los clientes deberán montar por separado cualquier sistema de archivos exportado bajo este. Cuando se establece en No, se montará automáticamente.
- No confíes en los UID
- Esta es una opción específica de NFSv2. El demonio de mapeo ugidd debe estar ejecutándose. Además de la sección Confiar en usuarios remotos, esta opción le permite especificar una lista de UID de clientes que se tratarán como usuarios que no son de confianza. Debe ingresar una lista separada por comas de UID o rangos de UID como 1,10,20-25,100-150. opciones de exportfs:squash_uids, map_daemon
- No confíes en los GID
- Esta es una opción específica de NFSv2. El demonio de mapeo ugidd debe estar ejecutándose. Al igual que No confiar en los UID, esta opción le permite especificar una lista de GID de clientes que se tratarán como el grupo que no es de confianza. Debe ingresar una lista separada por comas de GID o rangos de GID como 1,10,20-25,100-150. opciones de exportfs:squash_gids, map_daemon
Haga clic en Crear botón para guardar la exportación. Si ha cometido algún error en alguno de los campos, se mostrará un mensaje de error explicativo. De lo contrario, el navegador volverá a la lista de exportaciones.
Crear exportación NFSLos clientes permitidos ahora deberían poder montar el directorio exportado. De lo contrario, consulte los registros de errores de su sistema en busca de mensajes de los procesos del servidor NFS que expliquen por qué se rechaza el cliente.
Editar o eliminar una exportación NFS
Todos los detalles de cualquier exportación NFS existente se pueden editar en cualquier momento, siguiendo estos pasos :
- En la página principal del módulo, haga clic en el cliente debajo de Exportado a columna que desea editar. Si un solo directorio se exporta varias veces a diferentes clientes, cada uno debe editarse individualmente.
- En el formulario de edición de exportación (que es casi idéntico a la captura de pantalla anterior), cambie cualquiera de las opciones, incluido el directorio para compartir.
- Si desea eliminar la exportación, haga clic en Eliminar botón en la parte inferior derecha de la página. De lo contrario, haga clic en Guardar para guardar sus cambios. De cualquier manera, su navegador regresará a la página principal del módulo.
- Haga clic en Aplicar cambios botón para activar los cambios.
Las exportaciones NFS existentes se pueden editar o eliminar haciendo clic en su directorio en la página principal del módulo. Si realiza algún cambio, debe hacer clic en el botón Aplicar cambios para activarlos.
Importando directorio
Para 'importar' un directorio que ha sido exportado por otro sistema, puede usar sistemas de archivos de disco y red. Además, cuando se utiliza un pseudosistema de archivos NFSv4, las exportaciones de NFS se 'reimportan' en el sistema que exporta.