Servidor Nfs
Páginas: 6 (1386 palabras)
Publicado: 22 de noviembre de 2012
SERVIDOR NFS.
Cuando SELinux esté ejecutándose, los demonios NFS se encuentran confinados de manera predeterminada. La política de SELinux no permite que NFS comparta archivos por defecto. Si quiere compartir particiones NFS, esto puede configurarse mediante los Booleanos nfs_export_all_ro y nfs_export_all_rw, como lo explicamos más abajo. Sin embargo, estos Booleanos no son necesarios cuandolos archivos a ser compartidos se encuentran etiquetados con los tipos public_content_t o public_content_rw_t. NFS puede compartir archivos etiquetados con estos tipos aún si los Booleanos nfs_export_all_ro y nfs_export_all_rw se encuentran apagados.
* Anterior6.4. Ejemplos de configuración
* 7.2. Tipos
Por defecto, los sistemas de archivos NFS montados en el lado del cliente sonetiquetados con un contexto predeterminado definido por la política establecida para sistemas de archivos NFS. En políticas comunes, este contexto predeterminado utiliza el tipo nfs_t. Los siguientes tipos son utilizados con NFS. Diferentes tipos le permiten configurar un acceso más flexible:
var_lib_nfs_t
Este tipo es utilizado con archivos nuevos y ya existentes copiados o creados en eldirectorio /var/lib/nfs. Este tipo no debería ser modificado en una operatoria normal. Para restaurar las modificaciones a los valores predeterminados, ejecute el comando restorecon -R -v /var/lib/nfs como usuario root.
nfsd_exec_t
El archivo /usr/sbin/rpc.nfsd es etiquetado con el tipo nfsd_exec_t, al igual que otras bibliotecas y archivos ejecutables del sistema que estén relacionados con NFS. Losusuarios no deberían etiquetar ningún archivo con este tipo. nfsd_exec_t se modicaría a nfs_t.
7.3. Booleanos
SELinux se basa en el menor nivel de acceso requerido por un servicio para ser ejecutado. Los servicios pueden ejecutarse en una variedad de formas; por lo tanto, debe indicarle a SELinux como esta corriendo usted los servicios. Los siguientes Booleanos le permiten a usted indicarle aSELinux como está ejecutando NFS:
allow_ftpd_use_nfs
Cuando se encuentre habilitado. este Booleano permite que ftpd tenga acceso a montajes NFS.
allow_nfsd_anon_write
Cuando se encuentre habilitado, este Booleano permite que nfsd pueda modificar un directorio público de forma anónima; como ser, por ejemplo, un área reservada para archivos comunes que de otra manera no tendrían restricciones deacceso particulares.
httpd_use_nfs
Cuando se encuentre habilitado, este Booleano permite que httpd pueda acceder a los archivos almacenados en un sistema de archivos NFS.
nfs_export_all_ro
Exporta cualquier archivo o directorio mediante NFS, otorgando permisos de solo lectura.
nfs_export_all_rw
Exporta cualquier archivo o directorio mediante NFS, otorgando permisos de lectura yescritura.
qemu_use_nfs
Permite que qemu utilice sistemas de archivos NFS.
samba_share_nfs
Cuando se encuentre deshabilitado, este Booleano evita que smbd tenga acceso completo a elementos NFS compartidos mediante Samba. Habilitar este Booleano permitirá que Samba pueda compartir sistemas de archivos NFS.
use_nfs_home_dirs
Tener este Booleano habilitado añade soporte para directorios personalesNFS.
virt_use_nfs
Permite a virt usar archivos NFS.
xen_use_nfs
Permite a xen manejar archivos NFS.
7.4. Ejemplos de configuración
7.4.1. Compartiendo directorios usando NFS
El ejemplo en esta sección crea un directorio y lo comparte utilizando NFS y SELinux. Son utilizados dos equipos; un servidor NFS denominado nfs-srv, cuya dirección IP es 192.168.1.1, y un cliente denominado nfs-clientcuya dirección IP es 192.168.1.100. Ambos equipos se encuentran en la misma subred (192.168.1.0/24). Este es solo un ejemplo, y presupone que el paquete nfs-utils se encuentra instalado, que se está utilizando SELinux con una política elegida, y que se está ejecutando en modo obligatorio.
Este ejemplo enseñará que, aunque teniendo una disponibilidad de red total, y que los permisos de...
Cuando SELinux esté ejecutándose, los demonios NFS se encuentran confinados de manera predeterminada. La política de SELinux no permite que NFS comparta archivos por defecto. Si quiere compartir particiones NFS, esto puede configurarse mediante los Booleanos nfs_export_all_ro y nfs_export_all_rw, como lo explicamos más abajo. Sin embargo, estos Booleanos no son necesarios cuandolos archivos a ser compartidos se encuentran etiquetados con los tipos public_content_t o public_content_rw_t. NFS puede compartir archivos etiquetados con estos tipos aún si los Booleanos nfs_export_all_ro y nfs_export_all_rw se encuentran apagados.
* Anterior6.4. Ejemplos de configuración
* 7.2. Tipos
Por defecto, los sistemas de archivos NFS montados en el lado del cliente sonetiquetados con un contexto predeterminado definido por la política establecida para sistemas de archivos NFS. En políticas comunes, este contexto predeterminado utiliza el tipo nfs_t. Los siguientes tipos son utilizados con NFS. Diferentes tipos le permiten configurar un acceso más flexible:
var_lib_nfs_t
Este tipo es utilizado con archivos nuevos y ya existentes copiados o creados en eldirectorio /var/lib/nfs. Este tipo no debería ser modificado en una operatoria normal. Para restaurar las modificaciones a los valores predeterminados, ejecute el comando restorecon -R -v /var/lib/nfs como usuario root.
nfsd_exec_t
El archivo /usr/sbin/rpc.nfsd es etiquetado con el tipo nfsd_exec_t, al igual que otras bibliotecas y archivos ejecutables del sistema que estén relacionados con NFS. Losusuarios no deberían etiquetar ningún archivo con este tipo. nfsd_exec_t se modicaría a nfs_t.
7.3. Booleanos
SELinux se basa en el menor nivel de acceso requerido por un servicio para ser ejecutado. Los servicios pueden ejecutarse en una variedad de formas; por lo tanto, debe indicarle a SELinux como esta corriendo usted los servicios. Los siguientes Booleanos le permiten a usted indicarle aSELinux como está ejecutando NFS:
allow_ftpd_use_nfs
Cuando se encuentre habilitado. este Booleano permite que ftpd tenga acceso a montajes NFS.
allow_nfsd_anon_write
Cuando se encuentre habilitado, este Booleano permite que nfsd pueda modificar un directorio público de forma anónima; como ser, por ejemplo, un área reservada para archivos comunes que de otra manera no tendrían restricciones deacceso particulares.
httpd_use_nfs
Cuando se encuentre habilitado, este Booleano permite que httpd pueda acceder a los archivos almacenados en un sistema de archivos NFS.
nfs_export_all_ro
Exporta cualquier archivo o directorio mediante NFS, otorgando permisos de solo lectura.
nfs_export_all_rw
Exporta cualquier archivo o directorio mediante NFS, otorgando permisos de lectura yescritura.
qemu_use_nfs
Permite que qemu utilice sistemas de archivos NFS.
samba_share_nfs
Cuando se encuentre deshabilitado, este Booleano evita que smbd tenga acceso completo a elementos NFS compartidos mediante Samba. Habilitar este Booleano permitirá que Samba pueda compartir sistemas de archivos NFS.
use_nfs_home_dirs
Tener este Booleano habilitado añade soporte para directorios personalesNFS.
virt_use_nfs
Permite a virt usar archivos NFS.
xen_use_nfs
Permite a xen manejar archivos NFS.
7.4. Ejemplos de configuración
7.4.1. Compartiendo directorios usando NFS
El ejemplo en esta sección crea un directorio y lo comparte utilizando NFS y SELinux. Son utilizados dos equipos; un servidor NFS denominado nfs-srv, cuya dirección IP es 192.168.1.1, y un cliente denominado nfs-clientcuya dirección IP es 192.168.1.100. Ambos equipos se encuentran en la misma subred (192.168.1.0/24). Este es solo un ejemplo, y presupone que el paquete nfs-utils se encuentra instalado, que se está utilizando SELinux con una política elegida, y que se está ejecutando en modo obligatorio.
Este ejemplo enseñará que, aunque teniendo una disponibilidad de red total, y que los permisos de...
Leer documento completo
Regístrate para leer el documento completo.