Руководство системного администратора • третье издание { h h y с п п т п р



Pdf просмотр
страница46/82
Дата12.11.2016
Размер7.94 Mb.
Просмотров12670
Скачиваний0
ТипРуководство
1   ...   42   43   44   45   46   47   48   49   ...   82
517
безопасности. Оиа подобна тренажеру, на котором можно проверять любые бреши, существующие илн когда-либо существовавшие в UNIX. Изначально в протоколе NFS небыли предусмотрены никакие средства зашиты. Позднее лежащий в его основе протокол RPC подвергся модификации и появилась возможность использовать подключаемые модули аутентификации. Однако новая спецификация таки не предложила конкретного механизма зашиты. Тогда на арену вышли два конкурента компания Sun. представившая собственную технологию на основе систем шифрования с открытым ключом, проигнорированную другими поставщиками, и система Kerberos, расширившая свои стандартные средства аутентификации на RPC. Оба решения позволяли убедиться, что удаленный пользователь действительно тот, за кого себя выдает. Но нив одном из случаев данные, передаваемые посети, не подвергались шифрованию, поэтому пользователи по-прежнему находились во власти хакеров, пользовавшихся анализаторами пакетов.
Подробнее о системе Kerberos рассказывается в пораграфе 21.8.
Если в организации уже используется система с открытым ключом компании Sun или система Kerberos, обязательно применяйте ее совместно с N FS Раз есть корова, пусть она дает молоко В противном случае установка такой системы вряд ли себя оправдывает. Возможно, оба этих варианта представляют интересно на самом деле они обеспечивают лишь минимальное повышение защищенности по сравнению с уровнем, который определяется здравым смыслом. В организациях среднего размера достаточной мерой зашиты от нежелательного проникновения является жесткий контроль над совместно используемыми файловыми системами. Самая высокая степень риска связана с локальными компьютерами, которым официально разрешено монтировать файловые системы. Если человек, которому вы не доверяете, имеет привилегированный доступ к клиентскому компьютеру, не экспортируйте на эту машину никакие файловые системы. При наличии в организации брандмауэра блокируйте доступ к TCP- и портам 2049. которые используются протоколом NFS*. Кроме того, необходимо блокировать доступ к демону portmap системы Sun RPC, который обычно прослушивает TCP- и порты III. Несмотря на все эти предосторожности, не стоит также забывать правило, согласно которому файловые системы NFS не должны экспортироваться на нелокальные машины (VVebNFS не в счету О брандуахзрах речь пойдет в парагрофе 21.9.

17.2. Серверная часть NFS Говорят, что ссрвер "экспортирует" файловую систему, если он делает ее доступной для использования другими компьютерами. В Solaris употребляется термин "предоставляет в совместное использование" Для ясности мы решили придерживаться в этой главе первого варианта. Процесс монтирования файловой системы (те. определения ее секретного ключа) полностью отличается от процесса последующего доступа к удаленным файлам В обеих операциях используются совершенно разные протоколы, а Правда, если организация предоставляет сервис VVebNFS, придется разблокировать ТСР- порт 2049. Но это
не относится
к компьютерам, содержащим критические данные.
518
Чость II. Роботов сетях
запросы обслуживаются разными демонами в первом случае — mountd, во втором — nfsd. В некоторых системах оии называются соответственно rpc.mountd и rpc.nfsd — как напоминание о том, что их работа основана на технологии Sun RPC (следовательно, для их выполнения требуется демон portmap. о котором рассказывается в параграфе 28.3). На сервере N F S оба демона, mountd и nfsd, должны стартовать на этапе начальной загрузки системы и продолжать выполняться, пока система ие будет выключена. Чаще всего запуск демонов осуществляется автоматически Стартовые сценарии проверяют, сконфигурированы ли экспортируемые файловые системы, и если это так. то демоны запускаются. Демоны mountd и nfsd совместно эксплуатируют общую базу данных с информацией оправах доступа, где указано, какие файловые системы следует экспортировать и какие клиенты могут их монтировать. Рабочая копия этой базы данных обычно хранится в двоичном файле (в большинстве систем он называется xtab,, в Solaris — sharetab) где-то в корневой файловой системе ее копия может быть также спрятана в ядре. Поскольку файл базы данных представлен в нечитаемом формате, для добавления и редактирования записей требуется вспомогательная команда. В большинстве систем это команда exportfs. в Solaris — share. Удалить записи можно посредством команды exportfs -и или unshare. Управлять двоичным файлом вручную — не самое приятное занятие, поэтому большинство систем предполагает, что пользователь ведет текстовый файл, в котором перечислены все экспортируемые каталоги системы и права доступа к ним На этапе начальной загрузки система читает этот файл и на его основании автоматически создает файл xtab или sharetab. В большинстве систем имеется файл /etc/exports, включающий канонический список экспортируемых каталогов в текстовом виде. Его содержимое читается посредством команды exportfs -а В Solaris канонический список хранится в файле /etc/dfs/dfstab. который в действительности представляет собой сценарий, состоящий из последовательности команд share. (Команда shareali с помощью утилиты grep извлекает из файла dfstab все команды и выполняет их Но N F S — единственная широко распросграненная система совместного использования файлов, поэтому команда shareall эквивалентна вызову sh /elc/drs/dfstab.) к FreeBSD необычна тем, что демон mountd опрашивает файлу напрямую, поэтому необходимости в файле xtab и команде exportfs не возникает. Изменив файл exports, нужно послать де мот сигнал HUP. чтобы он повторно прочитал содержимое файла
# kill -HOP 'cat /var/run/mountd.picT
Все вышесказанное сведено в табл. 17.2. В ней указано, какой файл нужно редактировать прн экспорте новой файловой системы и что нужно сделать по окончании редактирования, чтобы изменения вступили в силу
Тоблицо 17.2. Кок экспартировоть котопог
Системо
С ли СОК экспортируемых
.ойловых систем
Solaris /etc/dfs/dfstab
HP-UX /etc/exports
Red Hai /etc/exports
FreeBSD /etc/exports
Что делать после внесения изменений Выполнить команду sbareall Выполнить команду /usrAbui/exportrs -а Выполнить команду /usr/sbin/exportfs -а Послать демону mountd сигнал HUP
Глово 1 7. Сетевоя фойповоя системо
519

NFS работает не на физическом уровне файловой системы, аналогическом. Экспортировать можно любой каталог он необязательно должен быть точкой монтирования или корневым каталогом физической файловой системы. Однако из соображений безопасности N F S определяет границы между файловыми системами, которые относятся к различным устройствами требует, чтобы каждая такая файловая система экспортировалась отдельно. К примеру, если раздел смонтирован как /users, то корневой каталог можно экспортировать независимо от этого раздела. Обычно клиентам позволяется монтировать подкаталоги экспортированного каталога. Скажем, если сервер экспортирует каталог /chimchim/users, то клиент может смонтировать подкаталога остальную часть каталога qsers — проигнорировать. Большинство систем не позволяет экспортировать подкаталоги с другими параметрами, чему родительского экспортированного каталога, хотя Red Hat — исключение из правила. Команда и файл dfstab (Solaris) Сценарий /etc/dfs/dfstab выполняет команду share однократно для каждой экспортируемой файловой системы. Например, на сервере, совместно использующем каталог /chimchim/users с машинами band и moon (при этом клиент band имеет права пользователя root) и каталог /user/share/man с машинами chimchim и rastadon. файл /etc/dfs/dfstab будет содержать такие команды s h a r e - F n f s - о r w - b a n a . лог . com:moon.ког.com. r o o t = b a n d . x o r . c o m
/ c h i m c h i m / u s e r s s h a r e - F n f s - o r v = c h i m c h i m . x o r . c o m : r a s r a d o n -xor.com / u s г / s h a r e / m a n После редактирования файла /etc/dfs/dfstab не забудьте вызвать команду shareall. и все изменения вступят в силу. Учтите, что команда shareall просто выполняет команды, записанные в файле dfstab, поэтому она не сможет отменить совместное использование файловых систем, записи которых были удалены из файла. Наиболее распространенные опции команды share перечислены в табл. 17.3.
Тоблицо 17.3 Опции комоиды shore {Solaris) Опция Описание гп Экспорт с доступом только Д1я чтения веем пользователям (ие рекомендуется) гя-список Экспорт с доступом только дяя чтегия указанным узлам iw Экспорт с доступом лля чтения и записи всем пользователям (не рекомендуется)
rv-еписок Экспорт с доступом для чтения и записи указанным узлам
тсня=список Список узлов, которым ратргшен доступ к этой файловой системе с правами суперпользователя без данной опция привилегированный лоступ с машины-клиента эквивалентен доступу от имени пользователя (как правило, его идентификатор равен -2) апоп«=1лг/ Значение U1D которое нужно использовать для запросов, поступающих от пользователя root; по умолчанию — nobody nosufe Запрещает клиентам монтировать подкаталоги экспортированного каталога поянй! Запрещает создавать чере" NI-S файлы с \становленнымн бшими
SLID и SO ID
520
Чосгь II. Роботов сетях
Список, используемый в различных опциях команды share, должен состоять из групп элементов, разделенных символами двоеточия (табл. 17.4). Все элементы идентифицируют узлы или группы узлов. Таблица 17.4 Спецификации узлов в комонде shore Тип . Синтаксис Нозночение . Имя компьютера
имякомпьютера Имена отдельных уалов (должны быть полностью определены, если используется DNS) Сетевая группа
имя группы Сетевые группы NIS; подробнее об этом рассказывается в параграфе 18.3
Домеи DNS
jax.yyy Любой узел в пределах домена
IP-сети
имя сети Имена сетей, заданные в файле /etc/networfa
1 1
Допускаются также спецификации в формате C1DR. например 3128.138.92.128/25 Примечание к табл. 17.4, касающееся имен узлов, стоит повторить еще раз если в организации используется система DNS, имена отдельных узлов
должны быть полностью определенными, иначе они будут проигнорированы. Перед элементом можно поставить дефис, что означает запрет Список просматривается слева направо, пока не будет найдено совпадение, поэтому операции отрицания должны предшествовать более обшим спецификациям. Например, строка s h a r e - F n f s - о r w — 0 1 2 8 . 1 3 8 . 2 4 3 / 2 4 : . c s . c o l o c a d o . e d u / u s e r s экспортирует каталог /usr с доступом для чтения-загшен всем узлам в домене cs.colorado.edu. за исключением узлов сети 128.138.243. Разрешается экспортировать каталог одним клиентам с доступом только для чтения а другим — для чтения-записи Нужно просто включить в спецификацию как опцию rw=. таки опцию го. На тап-странице share(lM) описаны некоторые базовые параметры NFS Полный их список приведен на странице share_nfs( М. Команда и файл) Файл exports содержит в крайней левой колонке перечень экспортируемых каталогов, за которым следуют списки опций и атрибутов. Например, в
H P - U X файл exports, содержащий строки
/ c h i r n c h i m / u s e r s - a c c e s s = b a n a : m o o n , roor=band
/ u s r / s h a r e / r o a n - a c c e s s ^ x o r a s a u r u s : r a s c a a o n : rr.oon, ro определяет, что машинами разрешено монтировать файловую систему /chimchim/users. ас машины band можно получить доступ к этой файловой системе от имени суперпользователя . Кроме того, машины xorasaurus. rastadon и moon могут монтировать файловую систему /usr/sha- re/man с доступом только для чтения. Файловые системы, которые указаны в файле exports без соответствующего списка компьютеров, обычно могут монтироваться всеми компьютерами Подобная беспечность приводит к возникновению серьезной бреши в системе защиты. Доступна уровне суперпользователя разрешен также cbimchim — реальному владельцу этой файловой системы
Глово 1 7. Сетевоя фойповоя системо
521
В некоторых реал ma пнях NFS длина строк в файле exports ограничена
1024 символами. Этот предел иногда наступает ужасающе быстро, особенно если указываются полностью определенные доменные имена. Выходом из положения может стать использование сетевых групп и масок подсетей. Конкретные параметры, которые можно указывать в файле /etc/exports, а также их синтаксису каждой системы свои, хотя и наблюдается определенное сходство Ниже описаны особенности систем HP-UX, Red Hat
Linux и FreeBSD, но, как всегда, не помешает все сверить по документации. Файл exports в HP-UX В H P - U X формат файла exports наиболее "классический" среди всех наших тестовых систем. Возможные опции (табл. 17.5) очень напоминают те, которые распознаются командой share в Solaris. Но есть и ряд тонких раишчии. Например, строка
I w - a n c h o r . c s . Colorado. edu :sioet. c s . Colorado . edu в Sol.ins означает экспорт каталога с доступом дли чтения-записи только перечисленным узлам. В HP-UX этаже строка разрешает всем пользователям монтировать каталог только для записи, а двум указанным — еше и для чтения. Попробуй пойми этих разработчиков В HP-UX, чтобы разрешить монтирование заданным клиентам, нужно воспользоваться опцией a c c e s s : r w , a c c e s s - a n c h o r . c s . Colorado_edu:moet.cs.colotado.edu Установка на чтение-запись сделана по умолчанию, поэтому опцию rw можно опустить. С другой стороны, не помешает указать ее явно. В HP-UX каждая строка файла exports должна содержать путь к каталогу, пробели дефис, после которого идет список опций, разделенных запятыми. Примеры строк уже приводились выше В табл 17.5 перечислены наиболее распространенные опции, которые можно указывать в файле exports. Под списком понимается разделенная двоеточиями последовательность имен узлов и сетевых групп (о последних речь пойдет в параграфе 18.3).
Тоблицо 17.5. Ноиболее роспространенные опции фойло exports в HP-UX a c c e s s =с/шсок Список клиентов, которые могут монтировать файловую систему го Экспорт только для чтения" ни олин клиент не имеет права записи н файловую систему fn Экспорт лля чгения и записи (по умолчанию)
'v.
сносок
Экспорт главным образом для ч«ения; в списке перечислены клкежы. которым разрешено монгированис для записи все остальные должны монтировать файловую систему только лля чтения root
=список Список клиентов, которым разрешен доступ к файловой системе с правами суперпользокатсля, без этой опции привилегированный доступ с машины-клиента эквивалентен доступу от имени пользователя опоп^н Значение UID. которое нужно использовать для запросов, поступающих от пользователя root. По умолчанию это -2 (пользователь nobody). При указании значения -1 доступ or имени суперпользо- иа I едя будет вообще запрещена у г Асинхронная обработка всех запросов на запись при наличии этой опции производительность операций записи повышается. равно как и вероятность потери данных в случае краха сервера
522
Часть II. Роботов сетх
Не забудьте по окончании редактирования файла /eic/evports выполнить команду exportfs -а. Файл exports в Red Hat Linux В Red Hat клиенты, которые могут поллчитъ доступ к определенной файловой системе, указываются в файле exports в виде списка, разделенного пробелами. Сразу после имени клиента в круглых скобках задается перечень связанных с ним опций, разделенных запятыми. Длинные строки можно разбивать на части с помошью обратной косой черты. Вот образцы записей
/ c h i m c h i m / u s e r s b a n d { r w , n o _ r o o t squash) n o o n ( r v )
/ u s r / s h a r e / m a n * . c s . C o l o r a d o . e d u ( r o ) Нельзя задать список клиентов с одинаковым набором опции. \огя некоторые типы "клиентов" соответствуют многим узлам. В табл. 17 6 перечислены четыре типа клиентских спецификаций, которые могут встречаться в файле exports в Red Hat*.
Тоблица 17.6. Клиентские спецификации в Red Hat Тип - Синтаксис Нозночение - ^
с -Имя компьютера имя компьютера Имена отдельных ут.тов Сетевая группа Фимя группы Сетевые группы NIS, подробнее об этом расскашваечся в параграфе 18.3
Подстановочные знаки * и ? Полностью определенные доменные имена с подстановочными знаками, ме- тасимвол '*" не соответствует точке
IP-сети IP-адрес/маска Спецификация в формате C1DR. например В габл. 17.7 описаны наиболее распространенные о ш ш и фаича exports, характерные для Red Hat Программное обеспечение NFS в Red Нл обладает необычной во ш о ж - ностью: разрешается экспортировать родительский каталог с одними опциями. а подкаталоги — с другими. Имеется также опция пса?г—* позволяющая отменить экспорт подкаталогов, к которым ие нужно предоставлять удаленный ДОСТУП. Например, в конфигурации
/ u s e r s * . x o r . c o m ( r w )
/ u s e r s / e v i ( n o a c c e s s l узлам домена xor.com разрешен доступ ко веем катало!ам файловой системы
/users, кроме /users/evi. Отсутствие имени клиента во второй строке означает, что установка относится ко всем узлам так. очевидно, безопаснее В Red Hal имеется богатый набор средств преобразования удаленных идентификаторов пользователей в локальные. Мы не советуем применять ив гетерогенной среде, но если в организации установлены только Linux -системы. тогда пожалуйста. Подробности можно узнать на странице exporis<5).
В действительности их пять, но спецификация ^ p u b l i c используется только в WebNFS
Глово 17. Сетевой фоиловоя система
523

Тоблицо 17.7. Наиболее распространенные опции фойло exports в Red Hot Опция
Описоние го Экспорт только для чтения rw Экспорт для чтения и записи (по умолчанию)
г ы-список
Экспорт главным образом для чтения, в списке перечислены клиенты, которым разрешено монтирование для записи, все остальные должны монтировать файловую систему только для чтения rooc squash Закрепляет значения UID и GID, равные 0, за идентификаторами, указанными в опциях a n o n u i d и anongid;
1
это установка по умолчанию no r o o t s q u a s h Разрешает обычный доступ от имени пользователя root (опасно) a l l _ s q u a s h Закрепляет идентификаторы всех пользователей и групп за своими анонимными версиями это удобно при работе с персональными компьютерами и ненадежными однопользова- тельскими станциями anonuJ.d=x« Значение UID, которое нужно использовать для запросов, поступающих от пользователя root anongid=xw Значение GID, которое нужно использовать для запросов, поступающих от пользователя root s e c u r e Требует, чтобы запрос на удаленный доступ поступал из привилегированного порта i n s e c u r e Разрешает удаленный доступ с любого порта n o a c c e s s Предотвращает доступ к данному каталогу и его подкаталогам В отличие от большинства операционных систем, Red Hat допускает преобразование идентификатора не только учетной записи root, но и любой другой. Подробности можно узнать в документации из описания опций s q u a s h _ u l d s И a l l _ s q u a s h . Демон mountd в Red Hat может запускаться по запросу из демона inetd, а не выполняться непрерывно. Это позволяет обеспечить дополнительный контроль доступа с помошью программы tepd; подробнее о ней говорится в параграфе 21.7. В настоящее время вне поддерживается N F S 3, но ожидается, что эта поддержка появится в ближайшем будущем. Клиентам, по умолчанию работающим с версией 3, нужно явно сообщить о необходимости монтирования файловых систем с помощью протокола N F S 2. иначе будут появляться непонятные сообщения об ошибках Файл exports во FreeBSD Во FreeBSD записи файла exports состоят из разделенного пробелами списка каталогов, аналогичного списка опций (каждая из них начинается с дефиса) и набора клиентских спецификаций, также разделенных пробелами. Приведем короткий пример
/ c h i m c h i m / u s e r s - m a p r o o t - r o o c band
/ c h i m c h i m / u s e r s moon
/ u s r / s h a r e / m a n - r o -mapall=daemon x o r a s a u r u s r a s t a d o r . moon Особенность FreeBSD состоит в том, что имя каталога может встречаться в нескольких строках. В каждой строке определяются некоторый набор опций Часть II. Робота в сетях
и клиенты, к которым они относятся. Если разные наборы опций применимы к различным клиентам, каталогу должно соответствовать несколько записей. В табл. 17.8 описаны наиболее распространенные опции. В отличие от большинства реализаций NFS, FreeBSD не позволяет клиентам монтировать подкаталоги экспортируемых файловых систем, если только разрешение не выдано явно с помошью опции - a l l d x r s . Зачем это было сделано, навсегда останется загадкой безопасность от этого ие повышается. Во FreeBSD клиенты задаются в виде имен компьютеров или сетевых групп Это также могут быть номера сетей, представленные в следующем формате
- n e t w o r k сетевой_адрес -mask маска
Тоблица 17 8- Ноибогее роспространенные опции фойло exports во FreeBSD
Опци. Описание _
- го Экспорт только для чтения по умолчанию экспорт предоставляется для чтения-записи пользователь Закрепляет идентификатор учетной записи root за указанным пользователем (это может быть значение UID или имя) По умолчанию выбирается пользователь nobody идентификатор) Чтобы разрешить привилетированный доступ. задайте -mapiooL = Looi
-тараИ^польэователь Закрепляет все значения U1D зв определенным пользователем это удобно црн работе с персональными компьютерами и ненадежными однопользовательскими станциями
- a l l d i r s Разрешает монтировать иобой подкаталог i.o умолчанию разрешение выдается только для указанного каталога
- w e b n f s Экспорт каталога в формате VVebNFS; доступ только для чтения веем пользователям, а все идентификаторы закреп- лязотся за пользователем nobody Документация иногда требует наличия оператора = между параметром
- n e t w o r k или - m a s k и его аргументом, но похоже, что такая система записи работает неправильно Сетевой адрес и маска подсети задаются в традиционной точечной нотации, например.
/ c h i m c h - ш / u s e r s - го . 2 5 5 . 0 Спецификация номера сети не может присутствовать в той же строке, где указаны имена узлов и сетевых групп Если это необходимо, задайте для каталога две строки Пахните о необходимости отправки демону mounid сигнала HUP. который заставит его повторно прочитать файл /etc/exports после внесения в него изменении К сожалеш!Ю демон неспособен сообшать пользователям об обнаруженных в файле ошибках. Придется просматривать системные журнальные файлы Демон mountd передает сообшения вот имени средства "daemon' Демон файловый сервис Если демон mountd проверил клиентский запрос на монтирование и нашел его правильным клиенту разрешается запрашивать различные операции файловой системы. Эти запросы обрабатываются на стороне сервсра демоном
Глово 17 Сетевой фон г, своя системо
525
nfsd . Ему нет необходимости выполняться на маши не-клиенте NFS. Единственное исключение — когда клиент тоже экспортирует свои файловые системы. Демон nfsd принимает числовой аргумент, который определяет, сколько экземпляров самого процесса nfsd нужно породить посредством системного вызова fork Выбор необходимого количества процессов очень важен, но, к сожалению, относится к области черной магии. Если это число будет слишком мало или слишком велико, производительность N F S может оказаться низкой. Производительность старых систем сильно снижалась при завышении числа выполняющихся демонов nfsd, поскольку в случае поступления запроса ядро посылало каждому неактивному процессу nfsd сигнал пробуждения. Эта проблема известна как "лавинный сход процессов. В современных системах она решена, так что ничего страшного не произойдет, если на выполнение будет запушено несколько "лишних" процессов. Раньше максимальное количество процессов nfsd было тесно связано с числом аппаратных контекстов, поддерживаемых центральным процессором. Сегодня в большинстве реализаций N F S все копии демона совместно пользуются общим контекстом, поэтому упомянутый показатель больше не является определяющим Более реальная метрика — число обслуживаемых жестких дисков. При высокой активности N F S полоса пропускания жесткого диска станет ограничивающим фактором для канала NFS. Нет необходимости пускать слишком много экземпляров демона на один шпиндель. Четыре процесса вполне достаточно для сервера, который используется нечасто, и достаточно для того, чтобы не возникало проблем с производительностью. На крупном сервере этот показатель должен быть в диапазоне от 12 до 20. Увеличивайте число процессов до тех пор, пока показатель средней загруженности сервера (его сообщает команда uptime) ие начнет заметно возрастать. Это признак того, что система не справляется со своимп функциями. Уничтожьте несколько процессов, и все придет в норму. На загруженном сервере NFS с большим числом клиентов буферы
UDP-сокетов могут переполниться, если запросы будут поступать в то время, когда все демоны nfsd уже задействованы. Число переполнений можно ore леживать с помощью команды netstat -s. Запускайте дополнительные демоны до тех пор. пока число переполнений не упадет до нуля, так как переполнение свидетельствует о серьезной нехватке серверных демонов. Во многих системах число процессов nfsd задается водном из файлов
/ e t c / r c * нли водном из стартовых сценариев, запускаемых демоном init Иногда существуют и более элегантные способы установки .чанного значения. В Solaris демон nfsd нужно запускать с флагом -а. чтобы разрешить сервис
N F S как через протокол UDP. таки через T C P Подобный запуск осуществляется по у мол чан шо.
WbiM В HP-UX число процессов nfsd задается посредством переменной
NUM KFSD в файле /etc/rc.config.d/nfsconf.
^t Bo FreeBSD демон nfsd нужно запускать с флагами -I и -и, что сделает
•!<' возможным обслуживание по протоколам T C P и UDP. Число процессов задается с помощью флага -п (например, nfsd -l -и -п 8). Аргументы команд- ной строки, передаваемые демону, берутся из переменной n f s s e r v - f l a a s в файле /etc/rc.conf (или в файле /etc/defaults/rc.conf. если пользователь не задал эту переменную; но умолчанию используются следующие
Демон cfsd — это, как правило, очень простая программа, которая посылает системный вызов, не предусматривающий ответа, во встроенный в ядро код NFS-сервера.
Чость II. Робото в сетяу
аргументы *'-u -t -п 4"). Необходимо также установить переменную nf s _ s e r v e r _ e n a b l e равной YES, чтобы обеспечить запуск демонов NFS.
17.3. Клиентская часть NFS Команда mount понимает запись вида
имя_коыпьстера:каталог
как путь к каталогу, расположенному на другом компьютере. Команда mount и ее расширений — самая важная область деятельности системного администратора на клиенте. Во многих системах добиться повышения производительности можно с помощью демона блочного ввода-вывода biod (иногда он называется nfsiod). Этот демон не относится к числу обязательных, номы настоятельно рекомендуем им пользоваться. Демоны и nfsiod: к э ш и ров ан иена стороне клиента При работе с файловыми системами демон biod/nfsiod выполняет базовые операции блочного кэширования по алгоритму опережающего чтения и отстающей записи. Он доступен как в NFS 2, таки. Мы советуем запускать этот демон на всех клиентах, хотя это и не является строго обязательным требованием. Наличие или отсутствие кэширующего демона не влияет на решение задач администрирования. Как и nfsd, демон biod в качестве аргумента принимает число, показывающее, сколько экземпляров самого себя ему нужно запустить. Для обычной машины достаточно будет четырех или восьми копий. Если демоны nfsd и biod работают на одном компьютере, то разумнее будет разделить "оптимальное" число экземпляров между ними. Все зависит оттого, как используется система — вам прндется поэкспериментировать.
V4 Во FreeBSD число экземпляров демона nfsiod задается в командной строке с помощью флага -л. Монтирование удаленных файловых систем Для создания временных сетевых точек монтирования может использоваться команда mount Ноте монтируемые файловые системы, которые являются частью постоянной конфигурации, должны быть перечислены в файле /etc/fstab (/elc/vfstab в Solaris), в таком случае они будут монтироваться автоматически на этапе начальной загрузки. С другой стороны, они могут быть обработаны службой автоматического монтирования, например программой или amd (подробнее об этом речь пойдет начиная с параграфа 17.6). Следующие элементы файла fstab предназначены для монтирования файловых систем /beast/users и /usr/man машин beast и ctiimchim.
# f i l e s y s t e m m o u n t p o i n t f s t y p e f l a g s dump fsck. b e a s t : / b e a s t / u s e r s / b e a s t / u s e r s n f s rw, bg, m t r , h a r d 0 0 c h i m c h i m : / u s r / m a n / u s r / m a n n f s r o , b g , i n t r , s o f t 0 0 В Solaris файл /etc/vfstab имеет немного другой формат, но опции N F S указываются схожим образом. В основном это те же опции что ив других системах. Добавляя элементы в файл fstab/vfstab обязательно создавайте с помощью команды mkdir каталоги точек монтирования. Можно сделать так. чгобы
Глово 17 Сетевой фон г, своя системо



Поделитесь с Вашими друзьями:
1   ...   42   43   44   45   46   47   48   49   ...   82


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал