---

Hej -

Jeg har lidt NFS-problemer: Jeg har startet portmap og NFS-serveren på
min SuSE Linux 7.2 og skrevet følgende /etc/exports:

/home/jonas/nfstest 10.0.0.*(rw)

Så forsøger jeg fra 10.0.0.3 at mounte serveren med følgende kommando:

mount -t nfs 10.0.0.2:/home/jonas/nfstest /home/jonas/nfstest

Den hænger bare. Efter fem minutter stopper jeg den og ser følgende i
/var/log/messages:

kernel: portmap: server localhost not responding, timed out
kernel: lockd_up: makesock failed, error=-5
kernel: portmap: server localhost not responding, timed out

Så er spørgsmålet: Hvorfor? Der er ikke nogen firewall på indersiden, så
det er næppe derfor.

---

Jonas Koch Bentzen wrote:

> Jeg har lidt NFS-problemer: Jeg har startet portmap og NFS-serveren på
> min SuSE Linux 7.2 og skrevet følgende /etc/exports:
>
> /home/jonas/nfstest 10.0.0.*(rw)

Når du får det til at virke skal du lige huske at sætte "no_root_squash"
på som option (og tilføje "rsize=8192,wsize=8192" til options i fstab -
det giver en pæn performanceforbedring).


> Så forsøger jeg fra 10.0.0.3 at mounte serveren med følgende kommando:
>
> mount -t nfs 10.0.0.2:/home/jonas/nfstest /home/jonas/nfstest
>
> Den hænger bare. Efter fem minutter stopper jeg den og ser følgende i
> /var/log/messages:
>
> kernel: portmap: server localhost not responding, timed out
> kernel: lockd_up: makesock failed, error=-5
> kernel: portmap: server localhost not responding, timed out

Jeg forstår ikke, at fejlmeddelelsen siger, at der er problemer med at
connecte til "localhost". Den burde da gå over og snakke med din server
i stedet ?

Jeg tror, at enten er der noget rablene galt med din routing eller også
mangler du at have en service kørende på klientmaskinen. Men den eneste
process, der _skal_ køre på en NFS klient, og den virker jo i.flg din
log ?

-Claus

---

Claus Rasmussen wrote:

>
> Jeg forstår ikke, at fejlmeddelelsen siger, at der er problemer med at
> connecte til "localhost". Den burde da gå over og snakke med din server
> i stedet ?


Ja, det undrer mig også. Jeg forsøger at forbinde til serveren, og den
har adressen 10.0.0.2. Min klient har adressen 10.0.0.3 (som regel - den
får sin IP-adresse fra DHCP. Af samme grund har jeg i /etc/exports givet
adgang til 10.0.0.* i stedet for bare 10.0.0.3).


> Jeg tror, at enten er der noget rablene galt med din routing eller også
> mangler du at have en service kørende på klientmaskinen. Men den eneste
> process, der _skal_ køre på en NFS klient, og den virker jo i.flg din
> log ?


Skal jeg have portmap kørende på klienten også, eller hvad?

Min *server* har i øvrigt følgende stående i sin /var/log/messages:

rpc.mountd: authenticated mount request from 10.0.0.3:624 for
/home/jonas/nfstest (/home/jonas/nfstest)

Det ser vel okay ud?

---

Jonas Koch Bentzen wrote:

> Claus Rasmussen wrote:
>
>> Jeg forstår ikke, at fejlmeddelelsen siger, at der er problemer med at
>> connecte til "localhost". Den burde da gå over og snakke med din server
>> i stedet ?
>
> Ja, det undrer mig også. Jeg forsøger at forbinde til serveren, og den
> har adressen 10.0.0.2. Min klient har adressen 10.0.0.3 (som regel - den
> får sin IP-adresse fra DHCP. Af samme grund har jeg i /etc/exports givet
> adgang til 10.0.0.* i stedet for bare 10.0.0.3).

Prøv lige at rette 10.0.0.* til 10.0.0.0/24 . Det har jeg stående i min
exports fil. Loggen fra din server viser, at der ikke er noget galt med
ip-adresserne.


> Skal jeg have portmap kørende på klienten også, eller hvad?

Ja, men den kører allerede. Det er portmap, der skriver linierne i din
klients log.

-Claus

---

Claus Rasmussen wrote:


> Prøv lige at rette 10.0.0.* til 10.0.0.0/24 .


Det virker tilsyneladende. Det undrer mig bare, at kommandolinjen
hænger, hvis jeg skriver den mount-kommando, jeg kom med før. Den logger
rigtigt ind, men hænger bagefter, så jeg bliver nødt til at dræbe
konsollen. Her er besken fra /var/log/messages på klienten:

kernel: lockd_up: no pid, 2 users??

En helt anden ting: Hvad, hvis jeg også vil have NFS-drevet tilgængeligt
på mit arbejde? Skal jeg skrive IP-adressen eller værtsnavnet i
/etc/exports? Og hvad med portnumre? Jeg har ADSL med en Cisco-ruter.
Hvilken port skal jeg forwarde fra ruteren til serveren? Og er der nogen
sikkerhedsmæssige problemer med NFS over internettet frem for lokalnettet?

---

Jonas Koch Bentzen wrote:

> Det virker tilsyneladende. Det undrer mig bare, at kommandolinjen
> hænger, hvis jeg skriver den mount-kommando, jeg kom med før. Den logger
> rigtigt ind, men hænger bagefter, så jeg bliver nødt til at dræbe
> konsollen. Her er besken fra /var/log/messages på klienten:
>
> kernel: lockd_up: no pid, 2 users??

Hvordan ser du, at nfs klienten er "logget ind". Kan du tilgå det
katalog, du har mountet ?

(Den rigtige terminologi er ikke "logge ind" - du giver ikke noget
password).

Som hvilken bruger laver du i øvrigt mounten ? Prøv som root, og prøv
(bare for eksperimentets skyld) at tilføje no_root_squash. Det virker
her.


> En helt anden ting: Hvad, hvis jeg også vil have NFS-drevet tilgængeligt
> på mit arbejde? Skal jeg skrive IP-adressen eller værtsnavnet i
> /etc/exports? Og hvad med portnumre? Jeg har ADSL med en Cisco-ruter.
> Hvilken port skal jeg forwarde fra ruteren til serveren? Og er der nogen
> sikkerhedsmæssige problemer med NFS over internettet frem for lokalnettet?

Sikkerhedsmæssigt er det skudt i låget Jeg mener i øvrigt at have
læst at NFS slet ikke kan køre over internettet (uden dog helt at forstå
hvorfor).

-Claus

---

Claus Rasmussen wrote:


> Hvordan ser du, at nfs klienten er "logget ind". Kan du tilgå det
> katalog, du har mountet ?


Ja.

> Som hvilken bruger laver du i øvrigt mounten ? Prøv som root


Gjorde jeg også før.

> og prøv
> (bare for eksperimentets skyld) at tilføje no_root_squash.


Virkede ikke.

>

er der nogen
>>sikkerhedsmæssige problemer med NFS over internettet frem for lokalnettet?
>>
>
> Sikkerhedsmæssigt er det skudt i låget


Det var bare det, jeg ville vide. Så opgiver jeg hele projektet : ) Jeg
har en bærbar, som jeg bruger som arbejdscomputer både herhjemme og på
arbejdet, og min tanke var så at undgå at skulle Apache+MySQL+PHP på den
bærbare og i stedet have det hele på serveren. Men hvis NFS ikke er
sikkert nok, så er det en dårlig løsning.

Mange tak for forslagene.

---

Jonas Koch Bentzen wrote:

> Virkede ikke.

Så er jeg nok løbet tør for ideer.

Dog; jeg har selv oplevet, at når jeg laver en nfs mount som root i
en shell, hænger shellen (men ikke nfs-kommandoen), når jeg forsøger
at logge ud.

Du _kunne_ prøve, at tilføje drevet til fstab og så genstarte maskinen.
Hvis det ikke virker, må du dog så regne med, at skulle ind i linux
single for at få det rettet tilbage.


>>> er der nogen sikkerhedsmæssige problemer med NFS over internettet
>>> frem for lokalnettet?
>>
>> Sikkerhedsmæssigt er det skudt i låget
>
> Det var bare det, jeg ville vide. Så opgiver jeg hele projektet : ) Jeg
> har en bærbar, som jeg bruger som arbejdscomputer både herhjemme og på
> arbejdet, og min tanke var så at undgå at skulle Apache+MySQL+PHP på den
> bærbare og i stedet have det hele på serveren. Men hvis NFS ikke er
> sikkert nok, så er det en dårlig løsning.

Njarj. Der er andre muligheder, du kunne kigge på. F.eks kan du jo bare
logge ind på maskinen med ssh over internettet. Det er sikkert. Filer
kopierer du så frem og tilbage med scp i stedet for cp.

-Claus

---

Claus Rasmussen wrote:


> Njarj. Der er andre muligheder, du kunne kigge på. F.eks kan du jo bare
> logge ind på maskinen med ssh over internettet.


Jeg er lidt træt af at bruge vi som editor i stedet for min normale;
Quanta : )

> Filer kopierer du så frem og tilbage med scp i stedet for cp.


Det er det, jeg gør i forvejen, hvis ikke jeg direkte logger ind på
maskinen.

---

Jonas Koch Bentzen wrote:

> Jeg er lidt træt af at bruge vi som editor i stedet for min normale;
> Quanta : )

Jeg er da ellers en glad vi bruger

Men du kan faktisk fint køre quanta over ssh (grafisk og det hele).
ssh sætter det hele op for dig automatisk, så du bare skal fyre
kommandoen af.

-Claus

---

Claus Rasmussen wrote:


> Men du kan faktisk fint køre quanta over ssh (grafisk og det hele).
> ssh sætter det hele op for dig automatisk, så du bare skal fyre
> kommandoen af.


Det her brev får root på en ny SuSE Linux-installation:

"Please note that one default feature of openssh has been changed
between SuSE Linux 6.4 (3.4.2000) - openssh version 1.2.2 - and SuSE
Linux 7.0 (31.7.2000) - openssh version 2.1.1p1: X11-forwarding. It is
disabled by default now for security reasons"

Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?

---

Jonas Koch Bentzen wrote:

> Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?

Jeg må blive dig svar skyldig. Jeg ved det ikke. Jeg troede, at X11
over ssh var sikkert. Prøv at spørge om det i en ny tråd. Så er der
nok nogle af "sikkerhedsnørderne", der ser det.

Jeg kører RedHat og jeg har ikke fået en tilsvarende advarsel.

-Claus

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?

Der er ingen. Læs manualsiden til sshd afsnittet "Configuration File",
nærmere betegnet under parameteren X11Forwarding.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Peter Makholm wrote:

> Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
>
>
>>Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?
>>
>
> Der er ingen. Læs manualsiden til sshd afsnittet "Configuration File",
> nærmere betegnet under parameteren X11Forwarding.


"Note that disabling X11 forwarding does not improve security in any
way, as users can always install their own for­warders".


X forwarding gør altså hverken sikkerheden bedre eller værre - er det
sådan, det skal forstås?

---

Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:

> X forwarding gør altså hverken sikkerheden bedre eller værre - er det
> sådan, det skal forstås?

Sådan noget ligende.

Xforwarding giver hverken brugere eller ikke-brugere nye muligheder
for at angribe maskinen. Det kan eventuelt betyde en mere sikker
maskine at slå det til ved at folk ikke begynder at lave underlige
løsninger, der kunne kompromitere maskinens sikkerhed.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Den Sun, 16 Sep 2001 16:56:22 +0200 skrev Jonas Koch Bentzen:
>Claus Rasmussen wrote:
>
>
>> Men du kan faktisk fint køre quanta over ssh (grafisk og det hele).
>> ssh sætter det hele op for dig automatisk, så du bare skal fyre
>> kommandoen af.
>
>
>Det her brev får root på en ny SuSE Linux-installation:
>
>"Please note that one default feature of openssh has been changed
>between SuSE Linux 6.4 (3.4.2000) - openssh version 1.2.2 - and SuSE
>Linux 7.0 (31.7.2000) - openssh version 2.1.1p1: X11-forwarding. It is
>disabled by default now for security reasons"
>
>Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?

Problemet er at det åbner den modsatte vej som man forventer (fra server
til din maskine). Hvis serveren er kompromiteret, kan man den vej igennem
overtage din maskine.

Jeg ser ikke noget problem i at man bruger det bevidst, men det er
tåbeligt at køre X-forwarding som default.

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:

>>Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?
>
> Problemet er at det åbner den modsatte vej som man forventer (fra server
> til din maskine). Hvis serveren er kompromiteret, kan man den vej igennem
> overtage din maskine.

Æhh, nu skal jeg ikke gøre mig for klog her - men er det ikke en
misforståelse (altså at der åbnes fra server til klient). X11 har jo
den her omvendte opfattelse af server/klient.

-Claus

---

Den Sun, 16 Sep 2001 17:40:17 +0200 skrev Claus Rasmussen:
>Kent Friis wrote:
>
>>>Hvad er sikkerhedsproblemerne i forbindelse med X forwarding?
>>
>> Problemet er at det åbner den modsatte vej som man forventer (fra server
>> til din maskine). Hvis serveren er kompromiteret, kan man den vej igennem
>> overtage din maskine.
>
>Æhh, nu skal jeg ikke gøre mig for klog her - men er det ikke en
>misforståelse (altså at der åbnes fra server til klient). X11 har jo
>den her omvendte opfattelse af server/klient.

Jeg snakker om SSH-serveren og SSH-klienten. Bare lige for at udelukke
enhver tvivl.

------------------------------------------------------------------------

X følger faktisk den korrekte def. af server/klient. Det er bare
brugeren der sidder anderledes, og derfor opfatter det modsat. En
printerserver er den maskine printerne sidder på. En webserver er
den maskine websiderne ligger på. En display-server er den maskine
display'et (skærmen) sidder på.

Der vil normalt være mange klienter forbundet til den samme server,
en klient normalt kun vil bruge en server ad gangen. (Der er
mange der vil skrive ud på printeren, men du skriver kun ud på en
printer ad gangen). Der er mange klienter (xterm, Gimp, XMMS) forbundet
til en X-server, hvorimod en xterm kun er forbundet til en X-server.
(XBlast er en undtagelse).

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:

[...]

Ok. Tak for forklaringen.

-Claus

---

Den Sun, 16 Sep 2001 12:55:02 +0200 skrev Claus Rasmussen:
>Jonas Koch Bentzen wrote:
>
>> Jeg har lidt NFS-problemer: Jeg har startet portmap og NFS-serveren på
>> min SuSE Linux 7.2 og skrevet følgende /etc/exports:
>>
>> /home/jonas/nfstest 10.0.0.*(rw)
>
>Når du får det til at virke skal du lige huske at sætte "no_root_squash"
>på som option

Det kommer vel an på om det er det man ønsker...

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:

> Den Sun, 16 Sep 2001 12:55:02 +0200 skrev Claus Rasmussen:
>
>>Jonas Koch Bentzen wrote:
>>
>>
>>>Jeg har lidt NFS-problemer: Jeg har startet portmap og NFS-serveren på
>>>min SuSE Linux 7.2 og skrevet følgende /etc/exports:
>>>
>>>/home/jonas/nfstest 10.0.0.*(rw)
>>>
>>Når du får det til at virke skal du lige huske at sætte "no_root_squash"
>>på som option
>>
>
> Det kommer vel an på om det er det man ønsker...


Jeg ønsker ikke at have root-privilegier på NFS-serveren. Hvad skal jeg
så bruge - root_squash eller no_root_squash - eller skal jeg bare bruge
rw som før?

---

Den Sun, 16 Sep 2001 13:29:15 +0200 skrev Jonas Koch Bentzen:
>Kent Friis wrote:
>
>> Den Sun, 16 Sep 2001 12:55:02 +0200 skrev Claus Rasmussen:
>>
>>>Jonas Koch Bentzen wrote:
>>>
>>>
>>>>Jeg har lidt NFS-problemer: Jeg har startet portmap og NFS-serveren på
>>>>min SuSE Linux 7.2 og skrevet følgende /etc/exports:
>>>>
>>>>/home/jonas/nfstest 10.0.0.*(rw)
>>>>
>>>Når du får det til at virke skal du lige huske at sætte "no_root_squash"
>>>på som option
>>>
>>
>> Det kommer vel an på om det er det man ønsker...
>
>
>Jeg ønsker ikke at have root-privilegier på NFS-serveren. Hvad skal jeg
>så bruge - root_squash eller no_root_squash - eller skal jeg bare bruge
>rw som før?

"rw" skulle være nok.

NFS mapper som default root til en alm. bruger af sikkerhedshensyn. Det
er det man slår fra med "no_root_squash".

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:

> Den Sun, 16 Sep 2001 12:55:02 +0200 skrev Claus Rasmussen:
>
>>Når du får det til at virke skal du lige huske at sætte "no_root_squash"
>>på som option
>
> Det kommer vel an på om det er det man ønsker...

Det plejer man at komme til Men ellers har du jo naturligvis ret.

-Claus