NFSはpfと相性が悪いみたいなのでやめにした
NFSの構築はできたんだけど、pfを設定する段階になってやっぱり止めることにした。
NFSは結構仕事でも利用することがあって、馴染みのあるサービスだったんだけど、
NFSを含めたRPC系のサービスを自分で構築みるのは初めてだったんで、勉強になった。
まず把握していなかったのが、NFSを構築すると開けないといけないポートが増えてしまうこと。
この点は導入する前に把握すべきなんだろうけど。
rpcinfoの出力をみるとこんな感じ。
NFSのポートレベルでのアクセス制御を行うのに、pfの設定を試みたけど、
portmaperがランダムに割り当てたポート番号を、pfに通知する術がないため、
NFS+pfという組み合わせができないよう。
OpenBSDのTheo氏の見解によると、mountdのポートを固定化するつもりはないし、
pfにportmapからポートを通知させるのは難しく、セキュリティ的に有用性もないと判断しているようです。
確かに、せっかく生成したランダムなポート番号を通知する仕組を作ること自体、リスクになると思う。
こうなるとPF+NFSってのは不可能という結論。
初めはここの記事をみてSamba+NFSでいこうかと安易に思ったけど、
sambaだけで行くか、Gentooにもドキュメントがある OpenAFSを試してみるか?
と悩んでいます。
NFSは結構仕事でも利用することがあって、馴染みのあるサービスだったんだけど、
NFSを含めたRPC系のサービスを自分で構築みるのは初めてだったんで、勉強になった。
まず把握していなかったのが、NFSを構築すると開けないといけないポートが増えてしまうこと。
この点は導入する前に把握すべきなんだろうけど。
rpcinfoの出力をみるとこんな感じ。
$ sudo rpcinfo -p localhost
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100005 1 udp 718 mountd
100005 3 udp 718 mountd
100005 1 tcp 1021 mountd
100005 3 tcp 1021 mountd
100021 1 udp 913 nlockmgr
100021 3 udp 913 nlockmgr
100021 1 tcp 683 nlockmgr
100021 3 tcp 683 nlockmgr
結構使ってるポートが多い。NFSのポートレベルでのアクセス制御を行うのに、pfの設定を試みたけど、
portmaperがランダムに割り当てたポート番号を、pfに通知する術がないため、
NFS+pfという組み合わせができないよう。
OpenBSDのTheo氏の見解によると、mountdのポートを固定化するつもりはないし、
pfにportmapからポートを通知させるのは難しく、セキュリティ的に有用性もないと判断しているようです。
確かに、せっかく生成したランダムなポート番号を通知する仕組を作ること自体、リスクになると思う。
こうなるとPF+NFSってのは不可能という結論。
初めはここの記事をみてSamba+NFSでいこうかと安易に思ったけど、
sambaだけで行くか、Gentooにもドキュメントがある OpenAFSを試してみるか?
と悩んでいます。
Comment
カテゴリ一覧
最近のエントリー
最近のコメント
