Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
nfs-ufw [Le 15/12/2011, 15:17] 127.0.0.1 modification externe |
nfs-ufw [Le 01/09/2022, 00:08] (Version actuelle) moths-art Passage de http à https sur les liens externes (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag> Lucid réseau partage nfs sécurité tutoriel }} | + | {{tag> Trusty xenial réseau partage nfs sécurité tutoriel }} |
| ---- | ---- | ||
| ====== Fixer les ports pour un partage NFS ====== | ====== Fixer les ports pour un partage NFS ====== | ||
| - | ===== Introduction ===== | + | Vous pouvez avoir besoin de fixer les [[wpfr>Port_(logiciel)|ports]] utilisés par [[:NFS]] , lorsque votre [[:partage]] doit se faire à travers un [[:Firewall|pare-feu]] matériel ou logiciel ou un autre équipement filtrant. |
| - | Vous pouvez avoir besoin de fixer les [[wpfr>Port_(logiciel)|ports]] utilisés par [[:NFS]] , \\ | + | |
| - | lorsque votre [[:partage]] doit se faire à travers un [[:Firewall]] matériel ou logiciel ou un autre équipement filtrant. | + | |
| {{/nfs-ufw.png}} | {{/nfs-ufw.png}} | ||
| - | <note tip>Pour sécuriser votre [[:partage]] [[:NFS]] à l'aide d'un [[:firewall]]\\ | + | <note tip>Pour sécuriser votre [[:partage]] [[:NFS]] à l'aide d'un [[:firewall|pare-feu]] vous pouvez suivre ce [[https://wiki.debian.org/SecuringNFS|tutoriel debian]] en utilisant [[:ufw]] plutôt que [[:Shorewall]]. |
| - | vous pouvez suivre ce [[http://wiki.debian.org/SecuringNFS|tutoriel debian ]]\\ | + | |
| - | en utilisant [[:ufw]] plutôt que [[:Shorewall]]. | + | |
| </note> | </note> | ||
| - | ===== partage NFS ===== | + | ===== Partage NFS ===== |
| Le principe de partage fonctionne sur la notion de serveur/client.\\ | Le principe de partage fonctionne sur la notion de serveur/client.\\ | ||
| - | Le serveur, que nous appellerons PC1, est celui qui propose l'accès à ses données.\\ | + | Le serveur est celui qui propose l'accès à ses données.\\ |
| - | Le client, que nous appellerons PC2, est celui qui y accède pour les lire ou les modifier. \\ | + | Le client est celui qui y accède pour les lire ou les modifier. \\ |
| - | <note important>Toutes les manipulations indiquées dans cette page se font sur le **PC1**</note> | + | <note important>Toutes les manipulations indiquées dans cette page se font sur le serveur.</note> |
| ===== Fixer les ports ===== | ===== Fixer les ports ===== | ||
| Ligne 32: | Ligne 28: | ||
| Pour déterminer le port, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/etc/default/nfs-kernel-server**\\ | Pour déterminer le port, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/etc/default/nfs-kernel-server**\\ | ||
| commentez (mettre un # devant) ''RPCMOUNTDOPTS=--manage-gids'' et mettez à la place: | commentez (mettre un # devant) ''RPCMOUNTDOPTS=--manage-gids'' et mettez à la place: | ||
| - | <code> RPCMOUNTDOPTS="--port 42002" </code> | + | <file> RPCMOUNTDOPTS="--port 42002" </file> |
| ==== Pour STATD ==== | ==== Pour STATD ==== | ||
| [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/nfs-common **\\ | [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/nfs-common **\\ | ||
| - | <code> STATDOPTS="--port 42000" </code> | + | <file> STATDOPTS="--port 42000" </file> |
| vous pouvez aussi fixer le port de sortie pour STATD en modifiant la ligne précédente par celle-ci: | vous pouvez aussi fixer le port de sortie pour STATD en modifiant la ligne précédente par celle-ci: | ||
| - | <code> STATDOPTS="--port 42000 --outgoing-port 42001" </code> | + | <file> STATDOPTS="--port 42000 --outgoing-port 42001" </file> |
| ==== Pour QUOTAD ==== | ==== Pour QUOTAD ==== | ||
| Ligne 45: | Ligne 41: | ||
| [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/quota **\\ | [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/quota **\\ | ||
| - | <code> RPCRQUOTADOPTS="-p 42769" </code> | + | <file> RPCRQUOTADOPTS="-p 42769" </file> |
| ==== pour LOCKD ==== | ==== pour LOCKD ==== | ||
| Pour éviter l'altération des données si plusieurs //clients// se connectent en même temps\\ [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/modprobe.d/options.conf** et y mettre cette ligne: | Pour éviter l'altération des données si plusieurs //clients// se connectent en même temps\\ [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/modprobe.d/options.conf** et y mettre cette ligne: | ||
| - | <code> options lockd nlm_udpport=42010 nlm_tcpport=42010 </code> | + | <file> options lockd nlm_udpport=42010 nlm_tcpport=42010 </file> |
| - | <note> Si le non de fichier options.conf ne vous conviens pas, vous pouvez le nommer comme bon vous semble tant qu'il fini par **.conf**</note> | + | <note> Si le nom de fichier options.conf ne vous conviens pas, vous pouvez le nommer comme bon vous semble tant qu'il fini par **.conf**</note> |
| + | ==== si LOCKSD prend toujours des ports aléatoires apres reboot ==== | ||
| + | Voir [[https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security|ici]] | ||
| + | |||
| + | [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/sysctl.conf** | ||
| + | <file> | ||
| + | fs.nfs.nlm_tcpport=42010 | ||
| + | fs.nfs.nlm_udpport=42010 | ||
| + | </file> | ||
| + | |||
| + | en fixant les mêmes ports pour UDP et TCP, **cela peut servir pour le parefeu UFW**. | ||
| ===== Prise en compte des modifications ===== | ===== Prise en compte des modifications ===== | ||
| - | ==== reboot ==== | ||
| Afin de prendre en compte les modifications par le système, il faudra redémarrer votre machine. | Afin de prendre en compte les modifications par le système, il faudra redémarrer votre machine. | ||
| - | Sinon vous pouvez essayer les étapes suivantes: | + | Sinon vous pouvez essayer les étapes suivantes : |
| - | + | * Relancer le serveur NFS : <code>sudo invoke-rc.d nfs-kernel-server restart</code> | |
| - | ==== Relancer le serveur NFS ==== | + | * Relancer portmap : <code>sudo invoke-rc.d portmap restart</code> |
| - | <code> | + | * Relancer le service rpc : <code>sudo rmmod sunrpc |
| - | sudo invoke-rc.d nfs-kernel-server restart | + | sudo modprobe sunrpc</code> |
| - | </code> | + | |
| - | ==== Relancer portmap ==== | + | |
| - | <code> | + | |
| - | sudo invoke-rc.d portmap restart | + | |
| - | </code> | + | |
| - | ==== Relancer le service rpc ==== | + | |
| - | <code> | + | |
| - | + | ||
| - | sudo rmmod sunrpc | + | |
| - | sudo modprobe sunrpc | + | |
| - | </code> | + | |
| ===== Vérification ====== | ===== Vérification ====== | ||
| Ligne 102: | Ligne 96: | ||
| Il sera alors possible de configurer votre [[:firewall]] en utilisant ces ports. | Il sera alors possible de configurer votre [[:firewall]] en utilisant ces ports. | ||
| - | ---- | + | =====Voir aussi===== |
| * https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security | * https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security | ||
| * [[wpfr>Network_File_System|NFS]] | * [[wpfr>Network_File_System|NFS]] | ||