© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Harold Gutch <logix(at)foobar.franken.de> wrote:
> On Wed, Sep 08, 2004 at 06:44:51PM +0200, Oliver Fromme wrote:
> > Was viele Anfänger nicht wissen: Wenn sie ein Unterver-
> > zeichnis eines Dateisystem (z.B. /home/stefan/dokumente)
> > exportieren, dann exportieren sie faktisch das _ganze_ Da-
> > teisystem (in diesem Fall /home)! Das ist eine Eigenart
> > von NFS, da NFS-Zugriffe auf device/inode-Basis beruhen und
> > keine Informationen über den Pfad enthalten. Dieses Ver-
> > halten ließe sich nur mit sehr großem Aufwand serverseitig
> > ändern.
>
> Jein - es ist eine Eigenart der NFS-Server Implementation von
> FreeBSD (oder vielleicht von *BSD). AFAIK hat das nichts mit NFS
> per se zu tun. Ich meine auch, mich dunkel daran zu erinnern,
> dass das bei Solaris nicht so sei. Welche anderen
> NFS-Implementationen dieses Verhalten zeigen bzw. welche nicht,
> weiss ich allerdings leider nicht.
Jein. :-)
Auch bei Solaris ist es so, daß, wenn man /mount/foo expor-
tiert, man prinzipiell auf alle Dateien unter /mount zu-
greifen kann, wenn es dasselbe Dateisystem ist. Man muß
lediglich die inode-Nummern kennen (oder erraten), da diese
als Filehandles verwendet werden. (Zumindest war das frü-
her so -- mir ist nicht bekannt, daß Sun etwas daran geän-
dert hätte.) Das ist der Hauptgrund, weshalb NFS häufig
als »No File Security« beschrieben wird.
Man kann (wenn ich mich richtig erinnere) bei Solaris und
bei Linux für mehrere Unterverzeichnisse desselben Datei-
systems unterschiedliche Attribute angeben, aber diese sind
nur beim Mounten relevant (dem mountd sind die Pfade ja be-
kannt, dem NFS-Protokoll hingegen nicht), nicht bei jedem
einzelnen Zugriff (NFS selbst ist stateless).
Etwas anderes ist es bei spezialisierten Appliances. Filer
von NetApp z.B. verwenden _nicht_ die inode-Nummern als
NFS-Filehandles, sondern verwalten diese separat (was sehr
aufwendig ist, da im Prinzip alle NFS-lookups gecacht wer-
den müssen). Dadurch ist bei jedem Zugriff der zugehörige
Pfad bekannt und kann daher mit eigenen Attributen ver-
knüpft werden; auch die Export-Permissions können bei jedem
einzelnen Zugriff geprüft werden.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"If Java had true garbage collection, most programs
would delete themselves upon execution."
-- Robert Sewell
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 09 Sep 2004 - 13:01:17 CEST