Compartición de recursos con NFS

Questions and Answers

¿En quin nivell del model OSI opera principalment el protocol NFS (Network File System)?

• Nivell de xarxa
• Nivell d'enllaç de dades
• Nivell d'aplicació (correct)
• Nivell de transport

Quin avantatge principal ofereix la centralització dels directoris d'inici dels usuaris mitjançant NFS en un entorn GNU/Linux amb autenticació LDAP?

• Simplificació de la gestió de permisos de fitxers
• Reducció de la càrrega del servidor NFS
• Implementació d'un sistema similar a un domini de Windows (correct)
• Millora de la velocitat de transferència de fitxers

En un entorn NFS, quina implicació té la compartició de directoris d'ús comú en termes d'estalvi de disc i gestió de dades?

• Comporta un estalvi de disc en les màquines locals ja que les dades estan centralitzades i accessible per a múltiples usuaris. (correct)
• Augmenta la necessitat de capacitat d'emmagatzematge a les màquines locals.
• Requereix la replicació de dades en cada màquina local per garantir la disponibilitat.
• Complica la gestió de versions dels arxius compartits.

Com influeix la funcionalitat del servei mountd en la seguretat de la compartició de recursos a través de NFS?

Verifica les peticions de muntatge remotes i controla les condicions d'accés al directori exportat. (C)

Després d'instal·lar els paquets necessaris per configurar un servidor NFS, quina acció addicional es recomana per assegurar el correcte funcionament del servei?

Reiniciar la màquina servidor per aplicar completament els canvis. (A)

Quin arxiu s'utilitza per definir les comparticions permanents en un servidor NFS i com afecta la seva modificació al servei?

/etc/exports; requereix actualitzar el servidor NFS amb la comanda exportfs -a o reiniciar el servei per activar els canvis. (C)

Quan es configura el fitxer /etc/exports en un servidor NFS, com es pot especificar que un directori s'exporti a tots els ordinadors de la xarxa, i quines implicacions té aquesta configuració?

Ometent l'especificació de l'ordinador o rang de xarxa; significa que el directori està disponible per a qualsevol client a la xarxa, independentment de la seva adreça IP. (C)

Quina és la diferència clau entre les opcions de muntatge root_squash i no_root_squash en la configuració d'un servidor NFS, i com afecten als privilegis dels usuaris remots?

root_squash evita que els usuaris root remots mantinguin els privilegis d'administració, assignant-los al GID de l'usuari nobody, mentre que no_root_squash els permet mantenir els seus privilegis. (B)

En el context de les opcions de muntatge de NFS, quina implicació té l'ús de l'opció async en comparació amb sync pel que fa al rendiment i la integritat de les dades?

async millora el rendiment en permetre que les peticions d'escriptura es completin sense esperar que les dades s'escriguin al disc, a risc de corrupció, mentre que sync assegura que les dades s'escriguin abans de completar la petició. (C)

Quina funció específica compleix l'ordre showmount --exports servidor en el context de l'administració de NFS, i quin tipus d'informació proporciona?

Mostra la llista de sistemes de fitxers que el servidor ha exportat per a ser muntats per clients NFS. (D)

En configurar perfils mòbils amb NFS i LDAP, quin pas és essencial per assegurar que els usuaris puguin accedir al seu directori /home des de qualsevol màquina a la xarxa?

Modificar el directori /home de cada usuari de LDAP perquè apunti al directori compartit en el servidor NFS. (C)

En entorns Windows que no suporten NFS de forma nativa, quina solució de tercers es pot utilitzar per permetre l'accés a recursos compartits NFS?

Utilitzar la llibreria Dokan juntament amb un client NFS de tercers com NekoDrive. (A)

Quina és la principal limitació de seguretat inherent al protocol NFS que requereix la implementació de mesures addicionals?

La manca d'autenticació d'usuaris per defecte, confiant en la IP per a l'autorització. (A)

Com afecten els arxius /etc/hosts.allow i /etc/hosts.deny a la seguretat d'un servidor NFS quan s'utilitzen els TCP Wrappers?

/etc/hosts.allow permet l'accés als serveis, i /etc/hosts.deny rebutja l'accés; les regles a hosts.allow tenen prioritat sobre les de hosts.deny. (D)

Quin és el propòsit del dimoni rpc.statd en el context de NFS, i com contribueix a la fiabilitat del servei?

Implementa el protocol NSM (Network Status Monitor) per notificar als clients sobre reinicis del servidor, facilitant la recuperació després de caigudes. (A)

Com es poden especificar els hosts que podran fer servir els serveis a /etc/hosts.allow?

Especificant la paraula clau ALL (D)

Com es poden denegar tots els serveis a /etc/hosts.deny?

Especificant la paraula clau ALL (A)

Quin dimoni per defecte s'encarrega de proporcionar informació de quotes a usuaris remots?

rpc.rquotad (A)

Quin dimoni s'encarrega del protocol NSM?

rpc.statd (D)

Quins fitxers s'han d'editar per configurar el nivell de seguretat?

/etc/hosts.allow i /etc/hosts.deny (C)

Quina comanda mostra informació RPC?

rpcinfo (B)

Quin dels següents objectius NO s'aconsegueixen mitjançant el protocol NFS?

Controlar quins usuaris poden accedir als arxius compartits (B)

Després de modificar el fitxer /etc/exports, quina ordre he d'utilitzar per a que s'activin els canvis al servidor NFS?

exportfs -a (B)

TCP wrappers pot ser una alternativa a un tallafocs?

No, TCP Wrappers no està dissenyat per a reemplaçar a un tallafocs (B)

Respecte el funcionament de NFS, quin servei és el responsable d'atendre les peticions d'accès a arxius del client.

nfsd (D)

L'ordre netstat -tl permet:

Veure els deamons actius. També podem veure els seus àlies al fitxer /etc/services (C)

Un sistema Linux pot treballar únicament amb:

Una jerarquia de directoris. Si es vol accedir a diferents sistemes d'arxius s'han de muntar primer (D)

Quan es parla d'NFS, cal instal lar-ho a varies parts. A quines?

Als Servidors i als Clients (B)

La compartició permanent activa en un servidor es realitza sobre quin arxiu?

/etc/exports (D)

L'administració de NFS té 3 serveis. Quins son?

rpcbind, nfsd, mountd (D)

Quines opcions he de configurar obligatòriament al client per a que funcioni la compartició per NFS?

Crear el punt de muntatge i donar permisos (B)

Si posem la opció en TCP wrappers ALL: PARANOID a quin arxiu farà referència?

/etc/hosts.deny (B)

En la documentació de NFS, perque és clau permetre configurar per separat els serveis de tallafocs portmap, lockd, mountd, rquotad i statd

No és necessari configurar-los per separat (D)

El protocol NFS:

Funciona correctament si es tenen totes les màquines del client a la mateixa xarxa privada (D)

Quina és la comanda per verificar la versió d'NFS?

grep nfs /proc/filesystems (A)

Si només es desitja fer una compartició via NFS de forma puntual, com ho faríem?

exportfs nom_client:/recurs_a_compartir (C)

En un sistema Linux, quins passos seguiríem per instal. lar un servidor NFS?

apt-get install nfs-kernel-server nfs-common rpcbind && reboot (C)

Flashcards

¿Qué es el protocolo NFS?

Protocolo de nivel de aplicación para compartir archivos en redes locales.

¿Qué permite NFS?

Permite a múltiples sistemas GNU/Linux acceder a archivos remotos.

¿Qué ofrece NFS?

Proporciona un servicio que permite a un cliente montar un sistema de archivos remoto.

¿Qué se necesita para NFS?

Instalar los paquets adients en el servidor y configurar els equips clients

¿Cuál es uno de los usos NFS?

Centralización de directorios de usuarios en red GNU/Linux.

¿Qué facilita la compartició de directoris?

Compartir directorios para proyectos colaborativos entre varios usuarios.

¿Qué más permite NFS?

Instalar software en un servidor y accederlo desde múltiples máquinas.

¿Qué hace el sistema cliente en NFS?

Traduce accesos a archivos en peticiones al servidor a través de la red.

¿Cuál es la función del servei mountd?

Atiende las peticiones de montaje de los clientes y controla el acceso a directorios.

¿Qué tarea realiza el servei nfsd?

Atiende y resuelve peticiones de acceso a archivos en directorios ya montados.

¿Qué permite nfs-kernel-server?

Permite compartir recursos en el servidor.

¿Qué utilidades contiene nfs-common?

Contiene utilidades para usar NFS tanto en servidor como en clientes.

¿Qué función tiene rpcbind?

Gestiona las peticiones RPC (Remote Procedure Call).

¿Qué especifica /etc/exports?

Especifica directorios a exportar y lista de autorizaciones en un servidor NFS.

¿Qué gestiona rpcbind (portmap)?

Gestiona las peticiones RPC.

¿Qué es nfsd?

Espacio de usuario del servei NFS. Processos NFS per a les connexions client.

¿Qué gestiona mountd?

Gestiona las peticiones de montaje de los clientes.

¿Qué opción es noaccess?

Impide el acceso al directori específico.

¿Qué opción sync?

No responde peticiones antes de escribir los cambios pendientes en disc.

¿Qué opción async?

Habilita la característica anterior. Millora el rendimiento en canvi que existeixi el risc de corrupció en els arxius o, fins i tot, en tot el sistema d'arxius, si es produís una interrupció del fluid elèctric o un bloqueig del sistema.

¿Qué es no_subtree_check?

Evita la validación de los subárboles exportados, puede aumentar la velocidad pero reduce la seguridad.

¿Qué primer paso en la instalacion del cliente es?

Crear un punto de montaje en la estructura de directorios del cliente.

¿Con qué herramienta se visualiza las comparticiones remotas?

Visualiza las comparticiones remotas en el cliente.

¿Qué es la seguridad en NFS?

Sistema que controla qué máquinas acceden a ficheros compartidos.

¿Qué són TCP Wrappers?

Sistema que filtra acceso a servicios mediante protocolos de Internet.

¿Que es la prioridad de los TCP Wrappers?

Priorizan las reglas en hosts.allow sobre las de hosts.deny.

¿Qué significa /etc/hosts.allow?

Controlar quins hosts poden accedir als serveis

¿Qué significa /etc/hosts.deny?

Denegar hosts al servicio

Study Notes

UF 3: Compartición de Recursos y Seguridad (24H)

• El tema de la unidad es la compartición de recursos y la seguridad en sistemas operativos, con una duración de 24 horas.
• Los temas incluyen compartir recursos en sistemas operativos libres y propietarios
• Los protocolos NFS y Samba se utilizan para compartir recursos en sistemas operativos libres.
• Los sistemas DFS (Distributed File System) y la administración de recursos compartidos se utilizan para compartir recursos en sistemas operativos propietarios.

Compartición de Recursos (NFS)

• El protocolo NFS (Network File System) es un protocolo de nivel de aplicación para compartir archivos en redes locales.
• NFS viene por defecto en la mayoría de los sistemas operativos GNU/Linux.
• Sistemas GNU/Linux en la misma red pueden acceder a archivos remotos como si fueran locales con NFS.
• Un sistema Linux trabaja con una jerarquía de directorios.
• Para diferentes sistemas de archivos (CD, discos, etc,) primero hay que montarlos en un punto de jerarquía único.
• NFS proporciona un servicio de red permitiendo a un cliente montar un sistema de archivos remoto de un servidor.
• "Exportar" refiere a permitir que un cliente acceda a un recurso compartido.
• El protocolo NFS funciona bajo una arquitectura cliente-servidor.
• Los objetivos incluyen permitir que usuarios en una LAN accedan a archivos y directorios compartidos como si estuvieran localmente y centralizar el almacenamiento en el servidor de la red.
• Es necesaria una instalación en dos partes para lograr estos objetivos: servidor y clientes.
• Servidor: Instalar los paquetes en el servidor para almacenar recursos compartidos
• Clientes: Instalar y configurar los paquetes para que los equipos accedan a esos recursos.
• Es flexible y configurable, lo que permite varios escenarios:
• Un servidor NFS puede exportar múltiples directorios y atender a varios clientes simultáneamente.
• Un cliente NFS puede montar directorios remotos de diferentes servidores.
• Un sistema GNU/Linux puede actuar como cliente y servidor NFS.
• Centralizar los directorios de conexión de los usuarios (directorio home), permitiendo que trabajen indistintamente.
• Permite implementar algo similar a un dominio de Windows en sistemas GNU/Linux si se combina con la autenticación de usuarios en red mediante LDAP.
• Se puede utilizar para compartir directorios de uso común entre máquinas, útil para proyectos colaborativos, ahorrando espacio en disco y evitando la necesidad de replicar información.
• Permite instalar software en un solo ordenador de la red.
• Los clientes NFS deben estar configurados para montar este directorio remoto en un directorio local
• El software estará disponible para todos los ordenadores de la red
• Permite compartir dispositivos de almacenamiento como particiones de discos duros y CD-ROM
• Reduce la inversión y mejora el aprovechamiento del hardware en la organización

Funcionamiento de NFS

• Los accesos se traducen a peticiones al servidor por medio de la red.
• En el cliente se implementa la capacidad de traducir accesos a un sistema de archivos en peticiones al servidor.
• Normalmente esta funcionalidad ya está programada en el núcleo GNU/Linux y no requiere configuración.
• En el servidor, NFS se basa en dos servicios de red: mountd y nfsd.
• El servicio mountd atiende las peticiones remotas de montaje desde el cliente.
• mountd comprueba si la petición de montaje es válida y controla las condiciones de acceso al directorio exportado.
• es considerada válida cuando el directorio ha sido explícitamente exportado
• El cliente tiene permisos para montarlo.
• El servicio nfsd atiende las peticiones de acceso del cliente a los archivos en el directorio remoto una vez que ha sido montado.

Instalación y Configuración del Servidor NFS

• Para ofrecer los recursos compartidos en el servidor, primerament instalar los paquetes
• nfs-kernel-server: Permite compartir recursos
• nfs-common: Contiene utilidades tanto para el servidor como para los clientes, como lockd, statd, showmount, y nfsstat.
• rpcbind: Transforma los identificadores de programa (RPC - Remote Procedure Call) en direcciones universales.
• Comando: sudo apt-get install nfs-kernel-server nfs-common rpcbind
• Una vez instalados los paquetes anteriores, reiniciar la máquina servidor.
• Se usan el archivo /proc/filesystems que contiene los sistemas de ficheros para comprobar que todo funciona.
• Correr el comando grep nfs /proc/filesystems
• Si por alguna razón se desconoce que version del servicio esta en utilización, se puede correr el comando cat de fitxer /proc/filesystems
• La compartición permanente en un servidor NFS se realiza en el archivo /etc/exports o con el comando exportfs para opciones dinámicas.
• El archivo /etc/exports se lee cuando arranca el servicio NFS o al usar el comando exportfs -a
• Las comparticiones se representan por una ruta absoluta
• Ejemplo: compartición1 dirección_client1
• La administración NFS tiene 3 servicios:
  • rpcbind (portmap): gestiona las peticiones RPC (Remote Procedure Call)
  • nfsd: espacio de usuario del servicio NFS. Procesa conexiones cliente
  • mountd: gestiona las peticiones de montaje de clientes

Configuraciones y Opciones en el Servidor NFS

• Cada línea del archivo /etc/exports indica un directorio a exportar y una lista de autorizaciones
• Se especifica qué ordenadores pueden montar el directorio con opciones, mediante Recurs_a_compartirClient(Opcions) en el archivo /etc/exports
• Cada elemento de la lista de ordenadores(Client)
  • Un sol ordinador: con nombre simbólico o IP/dirección
  • Un grupo de ordenadores : usando los caracteres comodí como * (conjunto de caracteres) o con IP_XARXA/MASCARA (e.g.,172.16.0.0/16)
  • Se pueden utilizar el usuario de un servidor NIS utilizando el formato @NomGrup
• Si no se indica el ordenador o el rango de la red, el directorio se exporta a todos
• Las opciones de montaje importantes se especifican en paréntesis para cada ordenador o grupo
  • (): opciones predeterminadas de NFS
  • ro (read-only): El directorio se exporta como un sistema de archivos de sólo lectura
  • rw (read-write): El directorio se exporta como un sistema de archivos de lectura/escritura
  • root_squash: Evita que los usuarios root mantengan privilegios de administración en la máquina remota. Se les asigna el GID del usuario nobody.
  • no_root_squash: Los usuarios root conservan sus privilegios en la máquina remota
  • noaccess: Detiene el acceso a el directorio especificado y es util cuando no se desea acceder a un subdirectorio de un directorio exportado
  • sync: Transfiere todos los cambios ante de completar el pedido del cliente, siendo esta la opción predeterminada
  • async: Activa la característica anterior, y mejora el rendimiento de cambios en el archivo, pero puede corromper los archivos
  • subtree_check: comprueba que cada solicitud NFS coincida con un fichero que reside en el área que se exporta, mostrando errores a los clientes
    • Es recomendado exportar en su totalidad el sistema de archivos y activar la opción no_subtree_check
  • no_subtree_check: Hace que le envio de lista de ficheros sea más rapido, pero la seguridad reduce.
  • wdelay: El servidor NFS no escribe el disco si espera otra solicitud, reduciendo los accesos al disco
  • no_wdelay: Activa la característica anterior
• Cuando se modifica el archivo /etc/exports, se debe actualizar el servidor mediante el comando exportfs -a para activar los cambios, y tambien se puede reiniciar el servicio NFS.
• Para encontrar otras comprobaciones hay que mirar las máquinas Cliente que están conectadas al servidor NFS
• Ademas de usar el comando exportfs.

Pasos para configurar los recursos en el servidor

1. Crear la carpeta o el directorio a compartir
2. Asignar permisos y usuarios o grupos propietarios
3. Exportar el conjunto de carpetas - Añadir la línea adiente dentro del archivo /etc/exports
4. Reiniciar el servicio NFS
5. Comprobar en el cliente que funciona

Instalación y Configuración del Cliente NFS

• Despues instalar el servidor, hay que ir a los clientes y hay que configurar el servidor ya antes configurado
• En Ubuntu permite el acceso al servidor NFS usando el comando apt-get install nfs-common rpcbind (portmap)
• Para configurar recursos compartidos, hay que seguir los sequitos pasos:

1. Crear un punto de montaje dentro del directorio /mnt y cambiar los autorizos y propietarios del directorio
2. Montar las carpetas mediante con comando mount
3. Crear archivos y directorios dentro

Comandos para el Cliente NFS

• Para ejemplificar, para montar ficheros sistema NFS usando la linea mount –t nfs dirección_server:/ruta_compartició punt_muntatge_client ,y para que el directorio se monte en el inicio del sistema, edita el archivo /etc/fstab
• se puede obtener mas información en http://manpages.ubuntu.com/manpages/xenial/en/man5/nfs.5. html
• Muestra con cuales particiones remotas al cliente: showmount --exports servidor
• y de esta manera ver que el servidor está funcionando df -h

Perfiles Móviles NFS + LDAP

• Se configura cual usuario puede usar un sistema y hacer login en cuqluier maquina xarxa
• Para fer-ho,
  • Se debe crear primero un recurso compartid en el servidro, con algo /mobils.
  • Configurar el recurs en los clientes con /home/mobils
  • modificar el archivo /home de cada usuarios de LDAP que ya existe en el servidor y verificar que el usuario tiene login y que su /home se crea en el directorio compartidl del servidor

Acceso con Clientes Windows

• Los equipos windows no suelen entender Ubuntu.
• NFS no es nativo a Windows hasta ahora en este preciso momento
• Windows 7 y enterprise edition son parte de leds sistemas Windows que si pueden usar NFS.
• Esta información se puede encontrar https://technet.microsoft.com/es-es/library/cc732891(v=ws. 11). aspx.
• En Window Server 2016, ve a Herramientas administrativas -> Activar características de SW y actica el cliente nfs.

Activando NFS por terceros programas:

• Se puede activar NFS en cliente Windows 10 y se puede accedir a un recurs NFS en un servidor Ubuntu 20.04 desde un cliente Windows 10
• Pero hay que instalar Instal·lar NekoDrive.
• Ademas, y también hay que usar Dokan para programar el controlador

Problemas con NFS

• Los permisos en NFS no excluyen los permisos de Linux, sino el resultado se vuelve el más restrictivo
• Hay hay que permitir lectura y escritura el fichero se puede encontrar modificando /etc/exports e implementado chown & chmod
• Un directorio sin restricciones para poder validar usuarios, esto hay que cambiarlo porque NFS se necesita autenticación LDAP.

Problema en Usuarios Locales

• Este problema se genera ya que se tiene el usuario local, el problema es que al conectar un usuario local desde el programa cliente puede que otro usuario se beneficia del fichero.
• Este error se arregla con la autenticación LDAP

Seguridad

• Hay que controlar que maquinas en la red puede usar los ficheros
• Hacerlo con lo metodos:
  • Uso de TCP wrappers (usat en /etc/inetd.conf) es posible proveir soporte de logs, tornar missatges a connexions, permetre a un daemon. Para configurar su nivel usar /etc/hosts.allow i/etc/hosts.deny
  • Fer servant iptables (firewall)
• Tamboén hay que tener presente que solo el administrador puede saber que puede hacerle dado o no accès a un fichero por tema de vulnerabilidades.
• Adicionalmente hay que tener puertos /etc/services en donde se utiliza el puerto 111 donde muestra el servicio de llamada.
• Otros demonios necesarios con rpc.nfs, rpc.mountd, rpc.rquotad, rpc.statd i rpc.nlockmgr
• La documentacion de NFS recommanda seguir el siguiente modelo /etc/hosts.allow o /etc/hosts.deny para saber acceder e implementar la seguridad, ya que TCP wrappers es la alternativa a un tallafocs. Y usar TCP Wrappers conjuntament con uno porque incrementa la seguridad. Despues ha y que reiniciar.