NFS-Exporte
Das Paket »ltps-server« legt bei der Installation folgenden Eintrag in der »/etc/exports« an:
/opt/ltsp *(ro,no_root_squash,async)
Er erlaubt jedem Host, ausgedrückt durch die Wildcard »*«, auf das Verzeichnis »/opt/ltsp« zuzugreifen. Die Option »ro« (read only) verbietet ihm das Schreiben. Mit »async« puffert der Client die Zugriffe, wodurch sich deren Performance steigern lässt. »no_root_squash« stellt sicher, dass jeder Benutzer eines Clients inklusive »root« auf das Verzeichnis zugreifen darf.
Gerade diese Option zeigt eine allgegenwärtige Schwäche von NFS: Es kennt in der von LTSP verwendeten Version 3 keine Authentifizierung. Dieses gravierende Manko hat NFS schon viele abschätzige Kosenamen wie "No Filesystem Security" und schlimmere eingebracht. Ein Client sagt dem Server einfach die User- und Group-IDs, unter denen er arbeiten möchte, und der Server lässt ihn anstandslos gewähren. Hat ein Angreifer also einen Client unter Kontrolle, steht es ihm frei, die Identität jedes Benutzers anzunehmen.
Sicherheit trotz NFS?
Um wenigstens den gröbsten Unsinn zu vermeiden, mappt NFS den Benutzer »root« normalerweise auf »nobody«. Genau dies schaltet die Option »no_root_squash« allerdings wieder ab. Da es sich in diesem Fall um das Root-Dateisystem für die Clients handelt, müssen diese zwingend auch mit Root-Rechten darauf zugreifen dürfen. Dadurch, dass der Server das Verzeichnis nur lesend exportiert, verhindert der Admin zwar möglichen Schaden auf dem Terminalserver, vertrauliche Dateien haben im Chroot jedoch nichts verloren.
NFS hat noch einen weiteren Nachteil: Die Performance bricht bei sehr vielen simultanen Zugriffen auf kleine Dateien massiv ein. Gerade bootende Thin Clients greifen mit ihren Startskripten auf eine Vielzahl kleinerer Files zu. Wo immer möglich, sollten Administratoren es vermeiden, zu viele Maschinen auf einmal zu booten, und stattdessen besser einzelne Rechnergruppen in Intervallen starten lassen. Weiterführende Informationen zu NFS finden sich in [7].
| Whitepaper |
|---|
|
The Role of Open Source in Data Integration
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Download PDF (Registrierung erforderlich)
|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
