hallo,
lassen sich nfs-freigaben noch irgendwie anders sichern als über die ip bzw. rechnernamen? denn diese lassen sich von einem anderen client ja ohne weiteres auslesen wenn der eingeschaltet ist... dann stelle ich die daten einfach bei meinem client ein und warte dass der andere seinen rechner ausschaltet und hab so den gleichen zugriff auf die daten am server...
geht das zum beispiel mit einem passwort in /etc/exports, und der client muß dieses pw beim mounten bzw. in der fstab angeben?
mac-adressen sind ja genauso nutzlos....

geht das zum beispiel mit einem passwort in /etc/exports, und der client muß dieses pw beim mounten bzw. in der fstab angeben?Natuerlich, indirekt schon. Der Benutzer muss natuerlich auch die entsprechenden Rechte auf dem NFS-Share haben. Faustregel: Wenn ein User nicht direkt auf der Maschine ein Directory lesen und/oder schreiben kann, kann er das ueber NFS natuerlich auch nicht, wenn er dieses Directory mountet.

Und wie man da dann noch was tricksen kann, darfst Du selber rausfinden. Aber ein "normaler User" wird das Wissen (und die Moeglichkeiten) dazu wohl nicht haben.

Gruss Pit.

ja, das ist schon klar....
aber angenommen ich habe einen rechner mit der ip 1.1.1.5, benutzername bla, gruppe blubb...
wenn ich diesem benutzer einen ordner freigebe müsste ich theoretisch nur einen client so einrichten dass er die selbe ip verwendet und einen user mit gleichem namen einrichten, das passwort wird ja meines wissens nach nur lokal verwendet, könnte also ein beliebiges verwenden... oder doch nicht?

mit kgpg hab ich auch keinen erfolg gehabt, oder ich war zu blöd, kann es sein dass es einfach nur den ordner komprimiert und mit einem schlüssel versieht? dann muß ich den ordner ja jedesmal wieder entpacken wenn ich darauf zugreifen will...

Moin,

host.allow bzw. host.deny regeln die Zugriffe von Rechner aus dem LAN.

ja, das ist schon klar....
aber angenommen ich habe einen rechner mit der ip 1.1.1.5, benutzername bla, gruppe blubb...
wenn ich diesem benutzer einen ordner freigebe müsste ich theoretisch nur einen client so einrichten dass er die selbe ip verwendet und einen user mit gleichem namen einrichten, das passwort wird ja meines wissens nach nur lokal verwendet, könnte also ein beliebiges verwenden... oder doch nicht?


Exakt. Das ist das Problem mit NFS. Authentifizierung findet keine statt, und Authorisation nur anhand der Rechneraddressen und uids/gids.

Bei der Entwicklung von NFSv4 wurde dieses Problem dadurch gelöst, dass von einer Implementierung (u.a.) Kerberos-Unterstützung verlangt wird. Die nötige Infrastruktur ist mittlerweile im Kernel vorhanden und kann auch mit NFSv3 benutzt werden (allerdings alles noch ziemlich experimental).
Das ganze läuft dann so ab, dass sich ein Client erst via Kerberos authentifizieren muss, bevor er vom Server etwas mounten darf. (Allerdings nur auf Rechner-Ebene, d.h. root auf dem Client kann immer noch auf alles zugreifen, was auf seinen Rechner exportiert wird. Brauchst du zusätzlich noch Benutzer-Authentifizierung, gäbe es z.B. noch AFS.)

Eine andere Möglichkeit wäre NFS über ssh zu tunneln (geht definitiv mit NFSv4, mit v3 AFAIK nur mit Einschränkungen). Dann hättest du eine Passwortabfrage.

Mal ein paar Links:
Linux NFS faq (http://nfs.sourceforge.net/)
Linux NFS howto (http://howtos.linux.com/howtos/NFS-HOWTO/index.shtml)
NFSv4 unter Linux (http://www.citi.umich.edu/projects/nfsv4/linux/)
sehr gutes NFSv4 howto, allerdings ohne rpcsec_gss (http://www.vanemery.com/Linux/NFSv4/NFSv4-no-rpcsec.html)

danke, das hat mir sehr weitergeholfen :)