Berechtigungs-Hierarchie von NFS-Freigaben

tuff

Benutzer
Mitglied seit
18. Apr 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe eine DS211J und benutze sie als Backup-Server für mehrere Geräte in meinem Netz.
Nun möchte ich gerne einen diesser Backup-Ordner via NFS schreibgeschützt den anderen Geräten zur Verfügung stellen.
Schreibgeschützt, damit niemand die Dateien im Backup-Ordner löschen kann.
Die NFS-Doku sagt aus, dass die Berechtigungen bei NFS IP-basiert vergeben werden. Dementsprechend sollte es doch möglich sein,
unabhängig davon, welche Benutzern/Gruppen auf den Ordner zugreifen generell einen Schreibschutz einzurichten.
So sehen die NFS-Berechtigungen des Ordners aus:
Bildschirmfoto_2020-08-23_13-01-11.png
in der /etc/exports sieht das dann so aus:
/volume1/artus-rdiff-backup 192.168.1.0/24(ro,async,no_wdelay,crossmnt,insecure,all_squash,insecure_locks,sec=sys,anonuid=1025,anongid=100)

Wenn ich nun dieses Ordner auf meinem Ubuntu 18.04 Rechner einhänge,
habe ich allerdings je nach Unterordner unterschiedliche Berechtigungen, zum teil nur-lesen, zum Teil schreiben/lesen.

eingebunden ist er mit folgendem Eintrag in /etc/fstab:
192.168.1.35:/volume1/artus-rdiff-backup /mnt/datenlager nfs soft,rw,exec,users 0 0

mount zeigt dieses an:
192.168.1.35:/volume1/artus-rdiff-backup on /mnt/datenlager type nfs4 (rw,nosuid,nodev,noexec,relatime,vers=4.0,rsize=131072,wsize=131072,namlen=255,soft,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.1.3,local_lock=none,addr=192.168.1.35)

Ich weiß, dass beim Klienten im Eintrag in /etc/fstab die Schreiben/Lesen-Option gesetzt hat, aber das sollte doch vom Server-Eintrag in /etc/exports überstimmt werden, oder? Ich kann diesen Eintrag natürlich klientenseitig auf ro ändern, ich möchte das aber vom Server aus regeln.

Kann man NFS so konfigurieren, wie ich das vorhabe, oder muss ich alle Ordner/Dateiberechtigungen im Backup-Ordner anpassen?

vielen Dank schon mal,

tuff
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.587
Punkte für Reaktionen
459
Punkte
359
Hast du denn versucht mal etwas in die NFS Freigabe zu schreiben oder zu löschen?
Das sollte zu einem Fehler führen, da egal wie du es am Client einhängst der Server das Schreiben nicht zulassen sollte.
 

tuff

Benutzer
Mitglied seit
18. Apr 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Ich habe unterhalb dieser Freigabe mehrere Unterordner, die ich mit rdiff-backup erzeuge.

In einem dieser Unterordner habe ich vom Client aus, wenn ich Thunar benutze, nur Leserecht und kann keine Dateien erzeugen.
In einem weiteren Unterordner kann ich Dateien erzeugen und löschen.

Interessanterweise sieht es wieder anders aus, wenn ich per Client über die Kommandozeile zugreife.
Dann habe ich auf beiden Unterordnern Schreibrecht.
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.395
Punkte für Reaktionen
365
Punkte
459
Kommandozeile? Die läuft aber doch nicht über nsf, also wirst du dort auch andere Berechtigungen vorfinden.
 

tuff

Benutzer
Mitglied seit
18. Apr 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Wiso sollte der Zugriff auf eine NSF-Freigabe via Kommandozeile anders sein, als über Thunar - es ist doch dieselbe Freigabe?
Ich meine das in Bezug auf die Berechtigungen, die im NSF-Server vorgegeben worden sind, also das "ro" in der /etc/exports

Das ist eigentlich auch meine Hauptfrage; was gilt nun? Kann ich z.B. von einem Client aus in eine NSF-Freigabe schreiben, auch wenn diese gemäß der Vorgabe des Servers read-only exportiert wird?
 

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
4.765
Punkte für Reaktionen
301
Punkte
163
Meines Wissens kennt NFS sowas wie Zugriffsrechte nicht wirklich. Da gibt es zwar den "Hauptschalter" rw/ro zur Erteilung von Schreib- oder nur Leserechten und Schalter wie anonuid und anongid um unbekannte UIDs und GIDs zu mappen, aber letztendlich geht NFS davon aus, dass die UIDs und GIDs auf beiden Seiten identisch sind und die ganz normalen Unix-Berechtigungen gelten, wie lokal auch.
Mag sein, dass da mit NFS4 etwas verändert wurde, aber das weiß ich nicht.

Zu deiner Frage: Eine ro--NFS-Freigabe kann nicht beschrieben werden.