linux中的nfs权限,Linux中的NFS协议解析

最新推荐文章于 2024-04-22 22:09:04 发布
最新推荐文章于 2024-04-22 22:09:04 发布
阅读量840 收藏 1
点赞数
文章标签: linux中的nfs权限

66b52468c121889b900d4956032f1009.png

8种机械键盘轴体对比

本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?

实验步骤

步骤1:下载实验文件

请访问http://file.ichunqiu.com/686f863d下载实验文件。

步骤2:学习NFS协议的挂载

这里我们结合着Wireshark来分析一下NFS协议数据,来学习一下它的挂载过程、安全机制以及读写过程,以直观的方式进行学习。首先分析一下协议的挂载,实验文件Lab18-1.pcap就是在执行挂载命令(mount)时所捕获的数据包:

d8efcd9362361dc4fddbb1659bdf5d88.png

上图中,IP地址为10.32.106.159是客户端,10.32.106.62则为服务器端,我们逐条分析一下每个数据包:

1:客户端想连接服务器的NFS进程,于是询问应该使用哪个端口(GETPORT)。在这里我们可以看到“Reply In 2”,说明2号数据包就是对于这个数据包的回应。

2:服务器回应说,NFS端口是2049。那么这里的“Call In 1”说明本数据包是对于1号数据包询问的回应。

3:客户端尝试连接服务器的NFS进程。并且还可以判断2049端口是否被防火墙拦截,以及NFS服务是否已经启动。

4:服务器回应,收到请求,可以连接上。

5:客户端想连接服务器的挂载(mount)服务,询问该服务的端口。由于mount服务的端口号是比较随机的,因此客户端必须要进行询问。

6:服务器回应自己的mount服务端口为1234。

7:客户端尝试连接mount进程。同理,也可以判断1234号端口是否被防火墙所拦截,还有mount进程是否已经成功启动。

8:服务器回应收到请求,可以连接。

9:客户端提出要求,请求挂载(MNT)“/code”这个共享目录。NFS主要提供了/code以及/document两个共享目录,分别被挂载到多台客户端的本地目录上。当用户在这些本地目录进行文件的读写时,实际上是在NFS的服务器上进行的。

10:服务器同意了客户端的请求。通过查看Packet Details面板可以知道,服务器要求客户端使用file handle 0x75a18429进行目录的访问。

11:客户端尝试客户端的NFS进程是否能连接上。

12:服务器回应可以连接。其实这两步完全没有必要,因为NFS一直处于连接的状态。这个问题估计和我们之前讨论的Windows中FTP的主动和被动模式一样,是开发人员的疏忽造成的。如果他们当时能够熟练使用Wireshark进行测试,相信不会出现这样的问题。

13:客户端要求查看文件句柄为0x75a18429的文件的属性。

14:服务器为客户端提供了该文件系统的大小和空间使用率等属性,之后就可以在客户端看到这些信息了。

15:客户端要求查看文件句柄为0x75a18429的文件的属性。

16:服务器为客户端提供该文件的属性。那么很明显,这两步也是多余的操作,估计原因同上。

这里需要说明的是,为了便于大家的理解与观察,这个捕获文件中只保留了关键步骤,而删去了关系不太大的数据包。大家如果分析真实的场景,所捕获到的数据包会比这复杂很多,但是原理是一致的。

利用Wireshark就可以很清晰地看到,如果portmap请求没有得到回复,这就说明很可能是防火墙对相关端口进行了拦截;如果发现mount请求被服务器拒绝了,那么可以考虑检查一下共享目录的访问设置。

步骤3:了解NFS的安全机制

NFS的安全机制主要包括对客户端的访问控制以及对用户的权限控制。NFS对客户端的访问控制是通过IP地址实现的。创建关键共享目录时可以指定哪些IP允许读写,哪些IP只允许读操作,还有哪些IP不给予任何权限。这方面的配置虽然并不复杂,但是一旦出现问题,却难以排查,当然如果借助于Wireshark,问题往往能够很快迎刃而解。

NFS的用户权限往往会使人困惑。有这样一个例子,一个客户端上的用户admin在/code目录里面新建了一个名为abc.txt的文件,该文件的owner正常显示为admin。但是在另一台客户端上查看该文件时,owner却变成了nasadmin。那么这里我们可以借助于Wireshark来分析一下实验文件Lab18-2.pcap,它展示了用户admin在创建abc.txt时的数据包:

a01f2912c293076605e36ed04bc162b8.png

我们关注一下第4个数据包。从上图中的Credentials中可以看到,用户在创建文件时并没有使用admin这个用户名,而是使用了admin的UID 501来代表自己的身份。而NFS协议是只认UID不认用户名的。当admin通过客户端创建了一个文件,那么UID 501就会被写到文件里面,成为了owner的信息。而当另一个客户端上的用户查看该文件的属性时,看到的就是UID 501。但是不同的客户端上UID值与其所对应的名称往往是不一致的。因此创建文件的客户端的UID 501表示的就是admin,但是换了客户端,UID就对应着nasadmin了。那么为了防止这样的问题,需要大家在实际的操作中,保证每个客户端的UID与用户名的映射是一致的。

步骤4:了解NFS的读文件过程

这里我们研究一下NFS协议读取文件abc.txt的过程,结合实验文件Lab18-3.pcap进行分析:

f988db83082eb34fab9acd1a9d1efefd.png

由于捕获文件中包含有很多关于数据传输的数据包,而那些数据包并不是我们关注的重点,所以我们可以利用筛选器,只保留NFS数据包。我们逐条分析一下每个数据包:

1:客户端向服务器询问,是否可以进入(ACCESS)FH为0x75a18429,也就是/code里面。

2:服务器回应说允许进入。

3:客户端想要查看这个目录里面的文件和文件的句柄。

4:服务器回应了客户端索要的信息,此时可以展开Packet Details来查看文件信息:

091c04aca6d63de316b59d62352c1da9.png

可见abc.txt的file handle为0x056560e1。

5:客户端询问file handle为0x056560e1的文件属性是什么。

6:服务器回应了该文件的权限、UID、GID以及文件的大小等信息。

7:客户端询问是否可以打开file handle为0x056560e1的文件。

8:服务器同意了请求,并给予了相应的权限。

9:从0x056560e1的偏移量为0的位置,也就是abc.txt文件的开头位置,读取(READ)131072字节的数据。

10:从0x056560e1的偏移量为131072的位置,再读取131072字节的数据。

148:服务器回应客户端,允许读取131072字节的数据。

288:同上。

这样,NFS就完成了文件的读操作。

步骤5:了解NFS的写文件操作

这里我们通过实验文件Lab18-4.cap来分析一下,将名为abc.txt的文件写入NFS共享文件夹的过程。首先依旧加入筛选条件nfs:

a5a21d513fa9ca876b0e2f00f00d4178.png

1:客户端向服务器发出请求,要求进入0x75a18429,也就是/code目录。

2:服务器接受请求。

4:客户端询问服务器,查找(LOOKUP)名为abc.txt的文件。因为在创建一个文件之前,需要首先检查一下是否有同名文件的存在。如果不存在同名文件,才能够继续写入,否则要询问用户是否覆盖原文件。

5:服务器回应没有这个文件。

6:客户端要求创建(CREATE)一个名为abc.txt的文件。

7:服务器答应了请求。此时在Packet Details面板中展开NFS区段,就可以找到文件的file handle为0x056560e1。

69:客户端要求从0x056560e1的偏移为0的位置,也就是abc.txt文件的开头,写入(WRITE)131072个字节。

104:服务器回应已经写完了。

130:客户端要求从0x056560e1的偏移为131072的位置,也就是abc.txt文件的开头,写入(WRITE)131072个字节。那么接下来的两个数据包也是这个道理。

302:服务器回复已经写入。下面两个数据包同理。

306:客户端询问,刚才所写的数据是否已经存盘,也就是COMMIT操作,只有经过COMMIT过的数据才算是真正的写好了。

307:服务器回应都保存好了。

308:客户端要求查看刚才所写入的文件的属性(GETATTR)。

309:服务器将文件的权限、UID、GID以及文件的大小等信息交给客户端。

由这个例子可以发现,写操作是多个WRITE Call连续发送过去的。其实我们刚才的读文件的操作也是如此。同时将多个请求一起发出,接下来等待回应的这种方法,比发一条回复一条,发一条回复一条的方式要更加有效率。特别是在高带宽高延迟的情况下,NFS的这种读写特性的优势就会非常的明显。对于写操作而言,如果我们在挂载的时候没有指定任何参数,那么就会采用默认的async(异步)写的方式。而与之相对应的是sync(同步)方式。如果在挂载时指定了sync参数,那么客户端就会先发送一个WRITE Call,等到收到Reply之后再发送下一个请求,也就是说,请求和回应是交替出现的。对于我们这个捕获文件而言,由于采用的是默认挂载方式,所以数据包的WRITE操作会有一个UNSTABLE,表示的是异步的方式。如果是同步方式,则会出现FILE_SYNC的标志。

所以,假设我们在实际的网络中,NFS的读写性能有问题,那么可以通过抓包看一看,是不是开启了同步的模式,或者有其它多余的操作。

第1题:以下哪个操作系统一般并不使用NFS协议?

Ubuntu

Windows

Debian

RedHat

B

第2题:在NFS的写文件操作中,需要利用()操作来确定是否存盘。

GETPORT

ACCESS

WRITE

COMMIT

D

第3题:在NFS的写文件操作中,第一步是要使用()。

LOOKUP

CREATE

GETATTR

COMMIT

B

第4题:对于NFS写操作而言,如果我们在()的时候没有指定任何参数,那么就会采用默认的async写的方式。

写操作

1、在NTF协议中,用什么标识来确认用户()UID

GID

Name

A

2、在NFS协议中,MOUNT请求无回复,可能是共享目录访问控制权限导致对

A

3、在NFS协议中,Portmap请求无回复,可能是防火墙导致对

A

4、在NFS的写文件操作协议中,查看文件是否存在使用什么标识头()LOOKUP

CREATE

GETATTR

COMMIT

A

5、在NFS的写文件操作中,需要利用什么操作来确定是否存盘()GETPORT

ACCESS

WRITE

COMMIT

D

我有多作怪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux nfs 修改权限,nfs服务权限配置
weixin_30610431的博客
04-29 4542
1、 查看系统是否已经安装了服务Rpm -qa | grep nfs2、 启动服务,并且开机自动运行Systemctl start nfsSystemctl enabled nfs3、 配置NFS服务(1) 创建共享文件,并在问价加下创建一个文档Mkdir /share/websEcho “this is nfs” > nfs.txt(2) 配置nfs服务的配置文件文件的每一行定义一个共享目...
Linux NFS机制工作原理及实例解析
09-14
Linux NFS (Network File System) 机制是一种分布式文件系统协议,允许网络的计算机共享文件和目录。NFS使得用户可以在本地系统上透明地访问远程文件,就像它们在本地系统上一样。这种技术对于需要跨多台服务器...
nfs linux读写权限,Linux实现NFS
weixin_35123329的博客
04-30 371
操作系统是CentOS6.51.首先需要两个虚拟机,一个作为服务端,一个作为客户端,分别使用下列命令检查客户端和服务端是否安装了nfs和rpc相关的包92C4C101-23A2-44EF-93B6-5D779EE410CD.png如果没有安装,请执行下列命令安装89D270DF-1A91-4D64-A954-82933088CAFA.png使用下列命令可以查看是否安装成功,安装成功了会像下面这样显...
实验2 NFS部署和配置
m0_64148419的博客
04-22 379
NFS部署和配置
linuxnfs存储权限,NFS权限管理 - 麦苗的个人空间 - OSCHINA - 文开源技术交流社区...
weixin_39558804的博客
05-07 904
对于NFS权限管理的理解,首先需要熟悉Linux关于文件或文件夹的访问控制策略,其次要认识NFS服务器如何控制客户端的访问。默认情况下,Linux对于文件或文件夹的权限管理分为所属者(ownuser)、所属组(owngroup)和其他(other)三类用户,可以分别对上述三类用户执行不同的访问控制策略,所谓访问策略主要指是否可读、是否可写、是否可执行,如图 1所示。由于对于某一具体文件或文件...
linux nfs 目录权限,简单介绍NFS Linux系统间网络文件系统 配置 权限问题
weixin_33057949的博客
04-29 483
NFS全称为Network File System – 用途:为客户机提供共享使用的文件系统** – 协议:NFS(TCP/UDP 2049)、RPC(TCP/UDP 111)**在yum仓库 下载安装 系统包 nfs-utilsyum -y install nfs-utils服务端需要修改配置文件 NFS的配置文件为 /etc/exports 第一次打开配置文件是空的 ,我们只需要在...
通过案例深入解析linux NFS机制
01-09
Linux NFS (Network File System) 机制是一种分布式文件系统协议,允许网络的计算机共享文件系统。在上述案例,我们看到如何设置NFS服务器(nfs01)来共享其/data目录,然后在web01和web02服务器上挂载这个共享...
exfat-linux驱动支持exfat文件系统NFS导出
最新发布
06-16
在实际应用,配置Linux系统导出ExFAT文件系统到NFS,还需要在NFS服务器端进行设置,包括编辑`/etc/exports`文件,指定要导出的目录和访问权限,然后重新加载NFS服务。客户端则需要挂载NFS服务器提供的文件系统。 ...
Linux - 进阶 NFS 服务器 NFS文件权限与共享目录权限主次问题
三毛与海子的博客
07-16 3694
NFS 服务器里的映射目录权限 共享权限参数与共享目录文件本身权限的关系
Linux重启nfs出现没有权限,记录nfs的防火墙以及权限问题
weixin_28740299的博客
05-10 214
在前面的一篇文章(https://www.cnblogs.com/zyxnhr/p/10660431.html),已经介绍了nfs的安装挂载使用,但是存在两个问题一、 防火墙在nfsnfs的守护进程rpcbind起来后,会由几个端口,防火墙需要打通,才能是客户端访问[[emailprotected] ~]# rpcinfo -p > nfs.txt[[emailprotected] ...
Linux NFS协议详解
永远是少年
11-25 5795
今天我们继续给大家介绍Linux相关内容,本文主要内容是NFS协议的基本知识与安装部署。 一、NFS协议简介 NFS,是Network File System网络文件系统的简写,是一种可以将远程的磁盘挂载到本地,当作本地磁盘使用的技术。通过NFS,用户和程序可以像访问本地文件一样访问远程系统上的文件。 NFS采用C/S架构,服务端开启TCP2049端口等待客户端连接。 二、NFS安装与启动 在NFS安装时,由于NFS基于rpcbind,因此在安装NFS时,需要首先安装rpcbind,NFS服务安装命令为:
Linux挂载NFS文件共享后,非root账户无写入权限
爱吃瓜子的糖的博客
05-18 4359
1、现象:有次再给朋友解决Confluence每日自动备份,发现接Mount远程目录,普通用户无写入权限,在平台用户下也无法挂载; 2、解决办法:经过查阅资料之后,这个Linux的特性,便想到了使用第三方挂载; 2.1、安装cifs-utils [root@wiki~]# sudo dnf install cifs-utils-y 2.2、执行挂载命令 [root@wiki~]# sudo mount.cifs //10.7.1.18/humc/WikiBak /var/atlassian.
Linuxlinux nfs共享存储服务
wjianwei666的专栏
08-31 744
网络上共享文件系统的协议,运行多个服务器之间通过网络共享文件和目录     服务端:将指定目录标记为共享目录,服务段有访问权限,共享目录有全部权限     客户端:通过nfs协议,发送请求到服务器,获取共享目录的操作权限
linux挂载nfs权限不够,无法写入挂载点(nfs-server),获得“权限被拒绝”
weixin_42465158的博客
04-30 2268
我正在尝试在两个RHEL7节点之间配置NFS:第一个节点:[root@ip-10-164-175-246 ~]# cat /etc/redhat-releaseRed Hat Enterprise Linux Server release 7.0 (Maipo)[root@ip-10-164-175-246 ~]# rpm -q nfs-utilsnfs-utils-1.3.0-0.el7.x86...
NFS客户端挂载目录后无权限写入问题
weixin_44654338的博客
04-28 2548
环境:suse12主机 两台服务器之间搭建配置nfs,a为Server 共享/data/目录、b为Client 问题描述:正常配置客户端使用如下命令挂在后root无写入权限 # mount -o rw -t nfs 172.20.10.5:/data/ /mnt/nfs 命令将网络文件mount到本地。执行完成之后,目录是可以访问了,但无权限写入 服务端配置文件内容 # vi /etc/exports 共享目录 ip(rw) 分析: 用户对目录的权限受两方面约束:NFS认证权限、P...
【NAS】NFS客户端挂载目录后无写入权限的解决方案
热门推荐
渡江客涂鸦板
08-01 6万+
在客户机通过mount -o rw -t nfs 192.168.192.204:/mnt/cephfs /mnt/nfs命令将网络文件mount到本地。执行完成之后,目录是可以访问了,但无法写入。分析: 用户对目录的权限受两方面约束:NFS认证权限、Posix权限NFS权限NFS服务器器exports配置额读写、只读权限 Posix权限: 发现......
解决海思 nfs挂载后,无法写入的权限问题
我的一片小天地----FD
08-04 1991
在你需要挂载的系统里面(一般为你的linux主机,或者虚拟机) 使用root权限 编辑 /etc/exports 文件 添加 /home *(rw,async,no_root_squash,no_subtree_check) 此处的/home 是你要共享的目录 然后 sudo exportfs -rv 不重启nfs的情况下更改设置, 重新挂载nfs即可了 ...
Linux NFS配置no_root_squash以解决客户端挂载点目录的写入权限问题
学亮编程手记
07-28 3195
选项会确保在 NFS 客户端上使用根用户(UID 为 0)时,其权限不被映射到远程 NFS 服务器上的一个非特权用户。这样就能确保根用户在客户端上拥有和服务器上相同的权限,包括在。会使得根用户在 NFS 客户端上拥有和服务器上相同的权限,这可能会带来一些安全风险。在实际应用,请谨慎权衡安全性和方便性,并确保根据你的环境选择合适的权限配置。为了在 NFS 客户端上解决权限问题,你可以尝试在挂载 NFS 文件系统时使用。的子目录,那么确保你有足够的权限来在。选项,你应该能够在 NFS 客户端的。
小型企业基于Linux系统网络服务器的架设.doc
11-29
由张锐华同学撰写,主要探讨了小型企业如何基于Linux系统搭建网络服务器,包括Web服务器、DNS服务器、邮件服务器、Samba服务器、FTP服务器、DHCP服务器、NFS服务器和SSH服务器的安装与配置,以及MySQL数据库服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值