Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Seguridad y Servidores


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

Servicio NFS - restringir mount por dirección IP
  #1  
Antiguo 12-abr-2012, 14:34
Avatar de crakeador
crakeador crakeador está desconectado
Aforado
 
Fecha de Ingreso: 05-noviembre-2011
Ubicación: Munich, Alemania
Versión: 12.1_X64
Mensajes: 81
Agradecimientos: 0
Agradecido 4 Veces en 4 Mensajes
Poder de Credibilidad: 8
crakeador está en el buen camino
Servicio NFS - restringir mount por dirección IP

Hola a todos, abro este post porque estoy intentado restringir el montaje de una carpeta mediante el servicio nfs a través de la ip de los equipos. Tengo un computador que tiene una carpeta /vms y quiero que solamente dos equipos de mi red puedan montarla por nfs.

He configurado el fichero /etc/exports de la siguiente manera:

/vms *(rw,no_root_squash,sync)

He configurado el fichero /etc/hosts.allow de la manera:

portmap:192.168.1.104
portmap:192.168.1.107
lockd:192.168.1.104
lockd:192.168.1.107
mountd:192.168.1.104
mountd:192.168.1.107
rquotad:192.168.1.104
rquotad:192.168.1.107
statd:192.168.1.104
statd:192.168.1.107

He configurado el fichero /etc/hosts.deny de la manera:
ALL:ALL

Como podeis observar, unicamente quiero que los equipos con ip 192.168.1.104/107 puedan montar la carpeta /vms, el resto no.

Con esta configuración cualquier equipo de la red puede montar /vms. ¿Alguna sugerencia?, gracias por cualquier ayuda.
__________________
Vini, Vidi, Installi
Responder Citando
  #2  
Antiguo 12-abr-2012, 14:48
jcsl jcsl está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 18-mayo-2008
Versión: Tumbleweed
Mensajes: 2.104
Agradecimientos: 0
Agradecido 973 Veces en 587 Mensajes
Poder de Credibilidad: 13
jcsl llegará a ser famoso muy pronto
Hola.

Yo apenas sé de redes, pero como quería compartir algunos directorios entre el PC de sobremesa y el netboot lo hice así. Mi exports:

Código:
/dir0   192.168.3.1(fsid=0,crossmnt,rw,root_squash,sync,no_subtree_check)
/dir1   192.168.3.1(rw,root_squash,sync,no_subtree_check)
/dir2   192.168.3.1(rw,root_squash,sync,no_subtree_check)
/dir3   192.168.3.1(rw,root_squash,sync,no_subtree_check)
Como ves uso las IP en el propio exports y no uso host.X. Si no recuerdo mal también se pueden usar rangos de direcciones y si has modificado el archivo hosts supongo que también podrás usar el nombre de host.

El sobremesa lo uso también como servidor DHCP para darle una IP al netbook que está configurado para obtenerla así aunque estoy pensando en asignarle una dirección IP estática también mediante DHCP. De esa forma cuando conecto el netbook directamente al router no tengo que hacer cambios.

Un saludo.
Responder Citando
  #3  
Antiguo 12-abr-2012, 15:09
Avatar de crakeador
crakeador crakeador está desconectado
Aforado
 
Fecha de Ingreso: 05-noviembre-2011
Ubicación: Munich, Alemania
Versión: 12.1_X64
Mensajes: 81
Agradecimientos: 0
Agradecido 4 Veces en 4 Mensajes
Poder de Credibilidad: 8
crakeador está en el buen camino
Cita:
Iniciado por jcsl Ver Mensaje
Hola.

Yo apenas sé de redes, pero como quería compartir algunos directorios entre el PC de sobremesa y el netboot lo hice así. Mi exports:

Código:
/dir0   192.168.3.1(fsid=0,crossmnt,rw,root_squash,sync,no_subtree_check)
/dir1   192.168.3.1(rw,root_squash,sync,no_subtree_check)
/dir2   192.168.3.1(rw,root_squash,sync,no_subtree_check)
/dir3   192.168.3.1(rw,root_squash,sync,no_subtree_check)
Como ves uso las IP en el propio exports y no uso host.X. Si no recuerdo mal también se pueden usar rangos de direcciones y si has modificado el archivo hosts supongo que también podrás usar el nombre de host.

El sobremesa lo uso también como servidor DHCP para darle una IP al netbook que está configurado para obtenerla así aunque estoy pensando en asignarle una dirección IP estática también mediante DHCP. De esa forma cuando conecto el netbook directamente al router no tengo que hacer cambios.

Un saludo.
Tu idea es muy buena, gracias porque funciona, la acabo de probar. Pero queria hacerlo algo más complejo. En vez de indicar la ip y la carpeta con las opciones a exportar, una a una, queria jugar con los ficheros hosts.allow y host.deny para que sea mas correcta la configuración. Haber si alguno tiene mas experiencia que yo configurando esos ficheros.

Un saludo y gracias por tu ayuda, temporalmente me lo solucionas.
__________________
Vini, Vidi, Installi
Responder Citando
  #4  
Antiguo 12-abr-2012, 15:25
jcsl jcsl está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 18-mayo-2008
Versión: Tumbleweed
Mensajes: 2.104
Agradecimientos: 0
Agradecido 973 Veces en 587 Mensajes
Poder de Credibilidad: 13
jcsl llegará a ser famoso muy pronto
Hola.

Cita:
Iniciado por crakeador Ver Mensaje
En vez de indicar la ip y la carpeta con las opciones a exportar, una a una, queria jugar con los ficheros hosts.allow y host.deny para que sea mas correcta la configuración.
No entiendo bien eso que dices. Yo he usado IP+carpeta para cada carpeta porque corresponden a distintos puntos de montaje, pero tú tienes definido solo uno y una vez montado se tendría acceso a todo lo que contuviera recursivamente. De lo que sé, no entiendo que usar los archivos host.X sea más correcto que lo otro sino que son dos formas de hacerlo. En tu caso por ejemplo, si añades otro directorio que no esté contenido en /vms tendrías que añadirlo al exports. ¿Me estoy perdiendo algo?

Un saludo.
Responder Citando
  #5  
Antiguo 12-abr-2012, 15:34
Avatar de crakeador
crakeador crakeador está desconectado
Aforado
 
Fecha de Ingreso: 05-noviembre-2011
Ubicación: Munich, Alemania
Versión: 12.1_X64
Mensajes: 81
Agradecimientos: 0
Agradecido 4 Veces en 4 Mensajes
Poder de Credibilidad: 8
crakeador está en el buen camino
Mi idea es exportar /vms a toda la red y restringir mediante hosts.allow y hosts.deny quien puede y quien no puede montar la carpeta.

/vms 192.168.1.0/24(rw,no_root_squash,sync) CARPETA EXPORTADA

¿como configuraria hosts.allow y hosts.deny para permitir solo el montaje a dos ips de esa red?
__________________
Vini, Vidi, Installi
Responder Citando
  #6  
Antiguo 12-abr-2012, 15:36
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 15
Mensajes: 8.442
Agradecimientos: 51
Agradecido 1.353 Veces en 1.009 Mensajes
Poder de Credibilidad: 20
karlggest está en el buen camino
Supongo que no quieres montar un cortafuegos para eso, pero ¿no es la mejor forma?

Salud!!
Responder Citando
  #7  
Antiguo 12-abr-2012, 15:39
Avatar de crakeador
crakeador crakeador está desconectado
Aforado
 
Fecha de Ingreso: 05-noviembre-2011
Ubicación: Munich, Alemania
Versión: 12.1_X64
Mensajes: 81
Agradecimientos: 0
Agradecido 4 Veces en 4 Mensajes
Poder de Credibilidad: 8
crakeador está en el buen camino
Cita:
Iniciado por karlggest Ver Mensaje
Supongo que no quieres montar un cortafuegos para eso, pero ¿no es la mejor forma?

Salud!!
No es que quiera, es que esta vivito y operando. Habia leido que era necesario meterse con ip tables, pero no creí que esto fuera tan tan complejo. Aunque aqui tengo poca experiencia. ¿Es necesario Karlggest?
__________________
Vini, Vidi, Installi
Responder Citando
  #8  
Antiguo 12-abr-2012, 15:54
jcsl jcsl está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 18-mayo-2008
Versión: Tumbleweed
Mensajes: 2.104
Agradecimientos: 0
Agradecido 973 Veces en 587 Mensajes
Poder de Credibilidad: 13
jcsl llegará a ser famoso muy pronto
Hola.

Cita:
Iniciado por crakeador Ver Mensaje
Mi idea es exportar /vms a toda la red y restringir mediante hosts.allow y hosts.deny quien puede y quien no puede montar la carpeta.

/vms 192.168.1.0/24(rw,no_root_squash,sync) CARPETA EXPORTADA

¿como configuraria hosts.allow y hosts.deny para permitir solo el montaje a dos ips de esa red?
Sin usar hosts.allow ni hosts.deny creo que se haría así:
/punto_exportado ip1(opciones1) ip2(opciones2) ... ipN(opcionesN)
Ejemplo:
/opt helpman.luna.edu(rw,no_root_squash) ida.luna.edu(ro,nohide) *.info.luna.edu(ro,all_squash) 172.24.0.0/16(ro)
No sé si los comodines se pueden aplicar también a las IP. Mirándolo bien pienso que puede ser mejor porque se aplica aquello del menor privilegio: se exporta a las máquinas que se debe y con las opciones justas. Del otro modo, exportándolo a toda la red, quizás podría ser más arriesgado desde el punto de vista de la seguridad.

Usando hosts.allow y hosts.deny no sé cómo se haría porque no lo he probado antes. Creo que con negar todo en hosts.deny (ALL:ALL) y admitir las IP que quieras en hosts.allow tendría que ser suficiente. Elimina el nombre del servicio en hosts.allow a ver si así funciona y luego vas añadiendo uno a uno, es lo único que se me ocurre.

Un saludo.
Responder Citando
  #9  
Antiguo 12-abr-2012, 15:59
Avatar de crakeador
crakeador crakeador está desconectado
Aforado
 
Fecha de Ingreso: 05-noviembre-2011
Ubicación: Munich, Alemania
Versión: 12.1_X64
Mensajes: 81
Agradecimientos: 0
Agradecido 4 Veces en 4 Mensajes
Poder de Credibilidad: 8
crakeador está en el buen camino
Probare y te cuento...muchas gracias
__________________
Vini, Vidi, Installi
Responder Citando
  #10  
Antiguo 12-abr-2012, 16:08
Avatar de karlggest
karlggest karlggest está desconectado
Moderador
 
Fecha de Ingreso: 07-febrero-2007
Ubicación: Ourense
Versión: Leap 15
Mensajes: 8.442
Agradecimientos: 51
Agradecido 1.353 Veces en 1.009 Mensajes
Poder de Credibilidad: 20
karlggest está en el buen camino
Cita:
Iniciado por crakeador Ver Mensaje
No es que quiera, es que esta vivito y operando. Habia leido que era necesario meterse con ip tables, pero no creí que esto fuera tan tan complejo. Aunque aqui tengo poca experiencia. ¿Es necesario Karlggest?
Yo tengo muy poca experiencia con redes, pero en mi opinión es mucho más sencillo, sólo tienes que añadir la regla correcta.

En principio, implementar un cortafuegos para que dos equipos (dos direcciones IP) puedan acceder a un servicio es muy sencillo. Puedes configurar el cortafuegos directamente para tal servicio, al estilo: "los equipos con tales direcciones pueden usar tal protocolo para conectarse a tal servicio".

Los cortafuegos son relativamente sencillos de utilizar. openSUSE usa por defecto Ipchains en lugar de Iptables, pero puedes usar cualquiera de los dos y la sintaxis es similar.

De todas formas, para simplemente exportar una carpeta vía nfs puedes hacerlo como jcsl. Si quieres seguridad adicional, añade iptables. Si quieres más seguridad aun, usa acl y o bien Apparmor o bien SELinux.

Cita:
Iniciado por jcsl Ver Mensaje
(...)

Usando hosts.allow y hosts.deny no sé cómo se haría porque no lo he probado antes. Creo que con negar todo en hosts.deny (ALL:ALL) y admitir las IP que quieras en hosts.allow tendría que ser suficiente. Elimina el nombre del servicio en hosts.allow a ver si así funciona y luego vas añadiendo uno a uno, es lo único que se me ocurre.

Un saludo.
Hasta donde yo sé, es justamente lo mismo: el sistema de red toma una y otra información de forma indistinta.

En cuanto a la seguridad, el principio es "restringe todo y permite sólo lo que debas". "Y piensa muchas veces si realmente debes".

Salud!!

nota: puedes usar ACL para usar el sistema de permisos por usuarios y grupos; puedes usar SELinux para asegurarte de que a la carpeta exportada sólo se accede montándola por nfs, y puedes añadir iptables para que sólo se admitan conexiones de esas máquinas que usen tales protocolos, todo ello creado en ese orden.

nota2: YaST permite configurar esto y abrir el puerto del cortafuegos (el que se instala por defecto, ipchains) si el cortafuegos está activo, claro, pero en la instalación por defecto no se instala el servidor: yast2-nfs-server, creo que se llama.

nota3: juas, cuanto más leo más cosas faltan xddd fíjate en si tienes el cortafuegos activo; si lo está, con seguridad tengas el puerto 2049 cerrado (o donde configures el servidor). Ábrelo al menos para esas máquinas, o para todos.
Responder Citando
Respuesta

Marcadores


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
How-to VirtualBox. darkskimmer Virtualización 192 05-sep-2015 00:49
Manual para configurar un Servidor FTP con Vsftpd gabrielkfr FAQs, Manuales y Tutoriales 33 09-jun-2014 23:47
¿Como puedo montar juegos? dsb_spain Software 8 04-jul-2009 22:10
ayuda con mount dvd jugoso Hardware 2 09-jun-2006 17:22
Google lanza servicio para crear páginas web narkone Noticias 0 24-feb-2006 17:16



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 23:00.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba