[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [riminilug-general] Media server: hw e sw

To: riminilug-general@xxxxxxxxxxxx
Subject: Re: [riminilug-general] Media server: hw e sw
From: Ivan Tarozzi <itarozzi@xxxxxxxxx>
Date: Fri, 22 Aug 2014 19:08:03 +0200
Delivered-to: battarsa@xxxxxxxxxxxx
Delivered-to: mailing list riminilug-general@xxxxxxxxxxxx
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; bh=NzFhGqaKia1jCA/n856gMlxLlTn80cM+Q+bH0wqcOos=; b=R0e9oqGn2lGmuQKfmxs7TR0NIQAYxlcH3n6BtK6SOkuh1LEyLCrGGh1G694yK8etJl o2gCUfLfuVQjRKq+C6K5VqrV1p8JmVo+G/bJimmnQ87NWt97PtES5GNQrGczYlp3Nwjt O2BOmeSdeqkPC7parUhKkpFbBCt55g/AAFMna00+/pW1IaYujYhyBr8vqDkdtz5lDsYO lzNM/WNlWDAxymexIQl1pA4O0qU6H6t79/98fsV6vQOB67RpGQXzzNsOlaOKdyjBy2Lm oGUTcNvtTSe9RSlSdhbvFjrcwCuoZdlJ8PP7447tMK3uASSl7lCjXJF/14C4nshMF9za 4Fmg==
In-reply-to: <557be116134be4c993266f583616827f@retaggio.net>
List-help: <mailto:riminilug-general-help@riminilug.it>
List-post: <mailto:riminilug-general@riminilug.it>
List-subscribe: <mailto:riminilug-general-subscribe@riminilug.it>
List-unsubscribe: <mailto:riminilug-general-unsubscribe@riminilug.it>
Mailing-list: contact riminilug-general-help@xxxxxxxxxxxx; run by ezmlm
References: <53F4CB16.8090909@email.it> <53F4CD4D.7050403@davidebolognesi.it> <53F4D45A.3080204@email.it> <53F5A7FE.5040502@gmail.com> <53F5E941.8070103@davidebolognesi.it> <afe79bac-07f3-46c5-89db-d72a2a00e647@email.android.com> <53F60B2B.3020902@davidebolognesi.it> <e74003ac-dbe1-4745-a132-9d86e6655b34@email.android.com> <557be116134be4c993266f583616827f@retaggio.net>
Reply-to: riminilug-general@xxxxxxxxxxxx
User-agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Icedove/24.5.0

yeah, finalmente qualcuno che ne capisce di server :)

Il 22/08/2014 15:43, daniele@xxxxxxxxxxxx ha scritto:
>
> Il 21.08.2014 19:33 Ivan Tarozzi ha scritto:
>> In realtà nfs4 permette autenticazioni a livello di utente usando
>> kerberos, ma non ho mai provato e non sono pratico.
>
> non solo, la protezione è *sempre* (a meno di disabilitarla) presente
> a livello di uid.
>
> per la serie, tutto quello che è il mondo linux viene preservato, e si
> può portare dietro anche le acl con nfsv4 (v3, non ricordo).

ok, questo e' senz'altro vero pero' vorrei conferma del seguente
scenario:   mi piazzo con il mio portatile all'interno di una rete,
ottengo un bell'IP via DHCP e tale IP e' nel range di quelli abilitati a
livello di NFS, a quel punto faccio il mount di una risorsa NFS e
(creando opportuni utenti con ID appropriati) a quel punto posso avere
accesso a qualunque file sulla condivisione NFS?
Ovvero, una volta eseguito il mount, la sicurezza a livello di utente e'
relativa al PC che monta il filesystem, giusto?
Se io ho UID 2000 sul mio PC e monto un fs NFS i cui files sono di
proprieta' di un altro utente ma sempre con ID 2000 posso accedere ai
suoi files, giusto?

E' solo per capire; poi e' ovvio che un buon sistemista evita situazioni
troppo aperte, usa ID univoci sulla rete ecc... Ma se per assurdo in una
rete mi danno accesso ad una risorsa NFS e io sono amministratore (root)
del *mio* pc, questo vuol dire che potenzialmente posso "eludere" il
controllo e accedere ai files di altri sulla stessa risorsa condivisa
semplicemente creando utenti con gli ID giusti?.


Ovviamente tutto questo discorso non interessa, nel caso di una rete
casalinga dove ho il controllo di chi si collega ... almeno fino a
quando mio figlio non impara a leggere e a pigiare tasti sulla tastiera
:D :D :D

>
> con idmapd è poi possibile fare il lookup del nome dell'utente e non
> dell'id numerico, quindi aumenta anche la flessibilità della soluzione.

interessante, non lo conoscevo, vado a documentarmi :D
rimane il problema di cui sopra? oppure no?


>
> [cut]
>> Nella pratica, ovvero su reti protette, personalmente non vedo la
>> necessità di una sicurezza maggiore rispetto ai filtri sugli ip quindi
>> vado con nfs "liscio".
>> Ovvio che se qualcuno mi buca il firewall o il wireless il problema
>> potenzialmente esiste.
>
> il problema esiste a prescindere, se ti bucano il firewall o la
> wireless :)

of course :D

>
> Ciao,
> d.
>

Ciao!
Ivan

---------------------------------------------------------------------
Per cancellarsi, scrivi a: riminilug-general-unsubscribe@xxxxxxxxxxxx
Se vuoi conoscere altri comandi, scrivi a: riminilug-general-help@xxxxxxxxxxxx

Follow-Ups:
- Re: [riminilug-general] Media server: hw e sw
  - From: Daniele Palumbo

References:
- [riminilug-general] Media server: hw e sw
  - From: Andrea Urbinati
- Re: [riminilug-general] Media server: hw e sw
  - From: Davide Bolognesi
- Re: [riminilug-general] Media server: hw e sw
  - From: Andrea Urbinati
- Re: [riminilug-general] Media server: hw e sw
  - From: Ivan Tarozzi
- Re: [riminilug-general] Media server: hw e sw
  - From: Davide Bolognesi
- Re: [riminilug-general] Media server: hw e sw
  - From: Ivan Tarozzi
- Re: [riminilug-general] Media server: hw e sw
  - From: Davide Bolognesi
- Re: [riminilug-general] Media server: hw e sw
  - From: Ivan Tarozzi
- Re: [riminilug-general] Media server: hw e sw
  - From: daniele

Prev by Date: Re: [riminilug-general] Media server: hw e sw
Next by Date: Re: [riminilug-general] Media server: hw e sw
Previous by thread: Re: [riminilug-general] Media server: hw e sw
Next by thread: Re: [riminilug-general] Media server: hw e sw
Index(es):
- Date
- Thread