Re: Jails und NFS-Server auf einem Host

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 25 Oct 2012 14:37:25 +0200 (CEST)



Marc Santhoff <M.Santhoff(at)web.de> wrote:


 > die manpage von jail(8) sagt, man solle rpcbind am besten abschalten und


 > NFS zu exportieren, also als Service für andere anzubieten, wäre


 > problematisch.


 > 


 > Ich als Jail-Anfänger frage mich nun, wie schlimm das wirklich ist. Der


 > Host, auf dem ich ein Jail manchmal brauche, also manuell bei Bedarf


 > starten möchte, muß NFS-Exporte anbieten können.


 > 


 > Muß ich das Jail auf einen anderen Rechner verlagern? Oder kann ich es


 > (mittlerweile) wagen, trotzdem beides laufen zu lassen?


 > 


 > Ich lese das als "NFS mount als CLient auf dem jail host sind


 > unkompliziert", stimmt das?



Meiner Meinung nach übertreibt die jail-Manpage etwas.  Du


kannst problemlos auf einem Rechner, der Jails beherbergt,


auch NFS nutzen.  Ich selbst mache das auch.



Du musst Dir halt nur darüber im Klaren sein, dass der Host


evtl. auch solche NFS-Anfragen erhält, die an die Adresse


eines Jails gerichtet sind.  Normalerweise ist das harmlos.


Wenn es stört, kannst Du das auch mit einer Filterregel


unterbinden (per ipfw oder pf); dann bist Du auf jeden Fall


auf der sicheren Seite.



Was rpcbind(8) betrifft:  Der hat eine Option -h, mit der


man ihn auf eine oder mehrere IP-Adressen festnageln kann,


ebenso mountd(8) und nfsd(8).  Du kannst in /etc/rc.conf


also z.B. schreiben:



nfs_server_flags="-u -t -n 4 -h 192.0.2.1 -h 2001:db8::0815"


mountd_flags="-r -p 249 -h 192.0.2.1 -h 2001:db8::0815"


rpcbind_flags="-h 192.0.2.1 -h 2001:db8::0815"



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
C++: "an octopus made by nailing extra legs onto a dog"
        -- Steve Taylor, 1998
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 25 Oct 2012 - 14:38:09 CEST













search this site