/etc/exports
, donne les répertoires exportés à l'extérieur. À chaque partage NFS sont associées des machines qui ont le droit d'y accéder. Un certain nombre d'options permettent de dicter quelques règles d'accès. Le format de ce fichier est très simple :
/repertoire/a/partager machine1(option1,option2,...) machine2(...) ...
fsid=0
ou fsid=root
.
*.falcot.com
ou en décrivant une plage complète d'adresses IP (exemples : 192.168.0.0/255.255.255.0
, 192.168.0.0/24
).
ro
comme read only). L'option rw
(comme read-write) donne un accès en lecture/écriture. Les clients NFS doivent se connecter depuis un port réservé à root (c'est-à-dire inférieur à 1 024) à moins que l'option insecure
(« pas sûr ») n'ait été employée (l'option secure
— « sûr » — est implicite en l'absence de insecure
, mais on peut quand même la mentionner).
sync
). L'option async
(asynchrone) désactive cette fonctionnalité et améliore quelque peu les performances, au détriment de la fiabilité puisqu'il subsiste alors un risque de perte de données en cas de crash du serveur (des données acquittées par le serveur NFS n'auront pas été sauvegardées sur le disque avant le crash). La valeur par défaut de cette option ayant changé récemment (par rapport à l'historique de NFS), il est recommandé de toujours mentionner explicitement l'option souhaitée.
nobody
user. This behavior corresponds to the root_squash
option, and is enabled by default. The no_root_squash
option, which disables this behavior, is risky and should only be used in controlled environments. If all users should be mapped to the user nobody
, use all_squash
. The anonuid=uid
and anongid=gid
options allow specifying another fake user to be used instead of UID/GID 65534 (which corresponds to user nobody
and group nogroup
).
sec
pour préciser le niveau de sécurité souhaité : sec=sys
est la valeur par défaut sans aucune sécurité particulière, sec=krb5
active uniquement l'authentification, sec=krb5i
y ajoute une protection d'intégrité, et sec=krb5p
est le plus haut niveau qui inclut la protection de la confidentialité (avec le chiffrement des données). Pour que cela puisse marcher, une installation fonctionnelle de Kerberos est nécessaire (ce service n'est pas traité par ce livre).
mount
command and the /etc/fstab
file.
Exemple 11.19. Montage manuel avec la commande mount
#
mount -t nfs4 -o rw,nosuid arrakis.interne.falcot.com:/partage /srv/partage
Exemple 11.20. Entrée NFS dans le fichier /etc/fstab
arrakis.interne.falcot.com:/partage /srv/partage nfs4 rw,nosuid 0 0
/partage/
présent sur le serveur arrakis
dans le répertoire local /srv/partage/
. L'accès demandé est en lecture/écriture (paramètre rw
). L'option nosuid
est une mesure de protection qui supprime tout bit setuid
ou setgid
présent sur les programmes contenus dans le partage NFS. Si le répertoire NFS est dédié au stockage de documents, il est recommandé d'employer de plus l'option noexec
qui empêche l'exécution de programmes par NFS. Il est important de noter que sur le serveur, le répertoire partage
est situé sous l'export de la racine NFSv4 (par exemple /export/partage
), ce n'est pas un répertoire de premier niveau de l'arborescence.