Чтение онлайн

• 

и . Если сервер NFS, работающий в системе Linux, предполагает, что последующие запросы могут изменить данные, предназначенные для записи на диск, он может отложить на некоторое время процедуру записи. Во многих случаях такой подход позволяет увеличить производительность сервера. Изменить принцип записи можно, указывая опции и . Опция предполагается по умолчанию.

Многие из опций, которые указываются для каждого клиента в файле

, предназначены для управления доступом. Как было сказано ранее, NFS использует механизм доверия, поэтому сервер не может проверить имя пользователя и пароль, как это происходит в системе Samba. Если клиент объявлен как заслуживающий доверия, то решение о предоставлении доступа принимается на основании сведений о принадлежности файла владельцу и правах. Некоторые из опций управления доступом, встречающиеся в файле , перечислены ниже.

• 

и . По умолчанию сервер NFS считает, что запросы должны поступать с защищенных портов, номера которых не превышают 1023. В системах UNIX и Linux доступ к таким портам имеет только пользователь (право работы через порты с номерами 1024 и выше предоставлено всем пользователям). Разрешая обращения клиентов, которые используют номера портов, превышающие 1023 (т.е. задавая опцию ), вы предоставляете пользователям, не обладающим привилегиями, дополнительный шанс осуществить несанкционированный доступ к серверу. В некоторых случаях, например при тестировании клиентских программ, использование опции может быть оправдано.

• 

и . Опция разрешает только читать содержимое экспортируемого каталога, а опция предоставляет также возможность записывать данные в этот каталог. В сервере , использующем функции ядра, по умолчанию принимается опция , а в серверах, выпущенных ранее, по умолчанию предполагалось, что задана опция . Чтобы предотвратить возникновение ошибок, рекомендуется задавать требуемую опцию в явном виде.

• 

и . Предположим, что на сервере NFS каталог размещен в одном разделе, а каталог — в другом. Если вы экспортируете каталог , должен ли экспортироваться также и каталог ? Ответ на данный вопрос зависит от используемого сервера. В ядре 2.2.x для этого была предусмотрена специальная опция. В последних версиях сервера NFS вы можете управлять его поведением, задавая опции и . Опция скрывает смонтированные разделы, а опция выполняет противоположное действие. Некоторые клиенты допускают ошибки в работе со смонтированными разделами, поэтому в ряде случаев приходится задавать опцию . При этом клиент должен самостоятельно монтировать оба каталога.

• 

. Данная опция запрещает доступ к каталогу, даже если он является подкаталогом экспортируемого каталога. Предположим, например, что вы хотите экспортировать поддерево , за исключением каталога . Для этого надо создать в файле обычную запись для каталога и отдельную запись для каталога , указав в ней опцию . В результате пользователи не смогут обращаться к каталогу .

• 

и . В некоторых случаях приходится экспортировать не весь раздел, а лишь его часть. При этом сервер NFS должен выполнять дополнительную проверку обращений клиентов, чтобы убедиться в том, что они предпринимают попытку доступа лишь к файлам, находящимся в соответствующих подкаталогах. Такой контроль поддерева (subtree checks) несколько замедляет взаимодействие с клиентами, но если отказаться от него, могут возникнуть проблемы с безопасностью системы. Отменить контроль поддерева можно с помощью опции . Опция , включающая такой контроль, предполагается по умолчанию. Контроль поддерева можно не выполнять в том случае, если экспортируемый каталог совпадает с разделом диска.

• 

и . По умолчанию сервер NFS отвергает обращения, которые исходят от пользователя , работающего на клиентском компьютере. Эти обращения интерпретируются как попытки доступа локального анонимного пользователя. Такая мера повышает уровень безопасности системы, предполагая, что привилегии на удаленном компьютере могли быть получены незаконно. Если же вам необходимо выполнять администрирование сервера с удаленного узла, то, для того, чтобы иметь возможность работать с привилегиями локального пользователя , надо задать опцию . Подобная мера может потребоваться, например, при создании резервных копий.

• 

и . В обычных условиях обращения от пользователей принимаются, но иногда приходится запрещать доступ к экспортируемым каталогам, содержащим важные данные. Сделать это можно с помощью опции . Опция отменяет действие .

• 

и . Анонимным пользователем, обращения которого отвергаются, обычно считается пользователь . Вы можете переопределить такую установку, указав идентификатор пользователя (UID) и идентификатор группы (GID). Сделать это позволяют соответственно опции и . В этом случае пользователю , работающему на удаленном клиенте, будет предоставлен доступ с привилегиями указанного пользователя. Эти опции также приходится указывать при работе с клиентами PC/NFS, которые поддерживают лишь одного локального пользователя. Такая опция должна сопровождаться знаком равенства и идентификатором пользователя или группы, например

Пример файла

показан в листинге 8.1. В этом файле описаны два экспортируемых каталога: и . Кроме того, в нем содержится третья запись, запрещающая с помощью опции обращения к каталогу . (Поскольку последняя запись лишь ограничивает доступ, в ней не указан конкретный узел; обращаться в данному каталогу не может ни один клиент.) Каталоги и доступны для компьютера и всех узлов сети 192.168.4.0/24, однако при экспортировании этих каталогов заданы различные опции. Каталог доступен только для чтения, а в каталог e клиенты имеют также право записывать данные. На компьютере для доступа к задан идентификатор анонимного пользователя, равный 514, а при обмене с каталогом не выполняется контроль поддерева.