Re: [riminilug-general] Media server: hw e sw

[Daniele Palumbo <daniele@xxxxxxxxxxxx>]

Il giorno 22/ago/2014, alle ore 19:08, Ivan Tarozzi <itarozzi@xxxxxxxxx> ha scritto:
> yeah, finalmente qualcuno che ne capisce di server :)

che scemo che sei :)

> ok, questo e' senz'altro vero pero' vorrei conferma del seguente
> scenario:   mi piazzo con il mio portatile all'interno di una rete,
> ottengo un bell'IP via DHCP e tale IP e' nel range di quelli abilitati a
> livello di NFS, a quel punto faccio il mount di una risorsa NFS e
> (creando opportuni utenti con ID appropriati) a quel punto posso avere
> accesso a qualunque file sulla condivisione NFS?

se usi auth come descritto sopra (non kerberos), si, hanno accesso ai dati.
sottolineo _di quelli abilitati_.

> E' solo per capire; poi e' ovvio che un buon sistemista evita situazioni
> troppo aperte, usa ID univoci sulla rete ecc...

idmapd serve anche a risolvere id diversi con stesso nome.

> Ma se per assurdo in una
> rete mi danno accesso ad una risorsa NFS e io sono amministratore (root)
> del *mio* pc, questo vuol dire che potenzialmente posso "eludere" il
> controllo e accedere ai files di altri sulla stessa risorsa condivisa
> semplicemente creando utenti con gli ID giusti?.

ancora, *e* con l'host in allow.
nel senso, se abiliti l'intera subnet a fare modifiche su nfs... ovvio che è semplice :)

altrimenti devi anche sapere quali ip sono abilitati a fare le modifiche, e se sono online spegnerli o fare capire al server nfs che l'ip valido è il tuo... (arp spoofing)
nulla di impossibile, ma non è "qualunque computer".

e se vuoi qualcosa di più serio, hai sempre kerberos :)

> Ovviamente tutto questo discorso non interessa, nel caso di una rete
> casalinga dove ho il controllo di chi si collega ... almeno fino a
> quando mio figlio non impara a leggere e a pigiare tasti sulla tastiera
> :D :D :D

tuo figlio deve:
1) avere accesso da uid diversi dal suo (sudo diretto, o su tramite utente root)
2) avere accesso ad un uid che può fare danni
3) a quel punto dare comandi a caso

mi fermo al punto .1. :)

>> con idmapd è poi possibile fare il lookup del nome dell'utente e non
>> dell'id numerico, quindi aumenta anche la flessibilità della soluzione.
> 
> interessante, non lo conoscevo, vado a documentarmi :D
> rimane il problema di cui sopra? oppure no?

si, perché lo scopo è diverso. serve in ambienti (ad esempio) come assenza di LDAP.
dal man:
     rpc.idmapd is the NFSv4 ID <-> name mapping daemon.  It provides func‐
     tionality to the NFSv4 kernel client and server, to which it communicates
     via upcalls, by translating user and group IDs to names, and vice versa.

Ciao,
d.
---------------------------------------------------------------------
Per cancellarsi, scrivi a: riminilug-general-unsubscribe@xxxxxxxxxxxx
Se vuoi conoscere altri comandi, scrivi a: riminilug-general-help@xxxxxxxxxxxx