Re: Trennung von Ports und distfiles

From: Oliver Fromme <olli(at)secnetix.de>
Date: Thu, 4 Jul 2002 22:15:27 +0200 (CEST)

Joerg Wunsch <j(at)uriah.heep.sax.de> wrote:
> As Oliver Brandmueller wrote:
> > Die einzig andere Lösung, die mir noch einfällt, wäre die distfiles
> > auf einem anderen Dateisystem zu lagern, was aber auch ungünstig
> > ist, denn die einzigen beiden Dateisysteme, für die das praktikabel
> > wäre an dieser Stelle sind /usr und /data - und letzteres wollte ich
> > auch keinesfalls mit einem maproot=0 exportieren.
>
> Du solltest schon deshalb ein separates Filesystem dafür nehmen, weil
> Du dann sicherstellen kannst, daß nichts tragisches passiert, wenn
> sich dort mal zu viel Müll ansammelt und das FS überläuft. distfiles
> tendieren grenzenlos zu akkumulieren. Man will auch nicht einfach
> alle alten Files löschen; manche Ports sind über Jahre stabil.
>
> Auch aus Backup-Sicht läßt sich ein komplettes FS meist leichter
> ausblenden.

Und dann wäre da noch der Sicherheitsaspekt. Wenn man
/usr/foo/bar/irgendwas exportiert, und das ist kein separa-
tes Filesystem, sondern befindet sich in /usr, dann expor-
tiert man prinzipiell das ganze /usr. Exports und Export-
Flags sind immer auf ein ganzes Filesystem bezogen, egal,
was für ein Unterverzeichnis in /etc/exports drinsteht.
Letzteres wird zwar vom mountd bei einer Mount-Anfrage ge-
prüft, aber da NFS stateless ist, kann man den mountd im
Prinzip umgehen. (Bekanntlich steht NFS für »No File
Security«.)

Um auf den konkreten Fall in diesem Thread zurückzukommen:
Wenn Du für die distfiles kein separates physikalisches
Filesystem hast, bestünde noch die Möglichkeit, ein »virtu-
elles« zu verwenden. Such Dir ein Dateisystem mit genug
Platz aus, leg dort mit dd eine große Datei an, konfigu-
riere diese mit vnconfig(8), dann newfs, dann kannst Du
sie irgendwohin mounten. Diesen Mount kannst Du wiederum
bedenkenlos exportieren, denn es ist ja ein eigenes File-
system.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 04 Jul 2002 - 22:15:38 CEST

search this site