Root-Squash (bei NFS) bitte erklären

[Ghost_Rider_R]

Hallo miteinander,
wir behandeln gerade das Thema Root-Squash bei uns in der Schule, leider bin ich hier allerdings nicht wirklich durchgestiegen.

Könnt ihr mir bitte nochmal genau erklären was das ist, wofür man es braucht und wie es sich mit den Rechten verhält?

Zu meinem Kenntnisstand:
Noob/Kackboon also alles schön einfach erklären bitte

viele Grüße Ruff

 

[Madman1209]

Hi,

was genau verstehst du denn nicht? Das Grundsätzliche oder was Spezielles? Oder die Implementierung?

Grundsätzlich ist "root squash" unter Unix nix anderes wie das Einschränken der Reduktion der Rechte für einen Superuser per Remotezugriff, der SU wird in den Rechten eingeschränkt.

Das ist es im ganz Groben So in etwas steht es auch auf Wikipedia.

VG,
Mad

 

[Ghost_Rider_R]

...ich versteh es im allgemeinen nicht.
Vielleicht besitzt jemand die Güte das ganze hier nochmal in deutscher Sprache nieder zu schreiben.
Was genau ist das Problem, damit man Rootsquash verwenden muss?
wie wirkt es sich aus nur auf User die als Root kommen?

 

[GuaRdiaN]

Ich bin mir nicht sicher, ob dir das Konzept vom Network Filesystem (NFS) bekannt ist. Hier ist es so, dass ein Server diesen Dienst (nfs-kernel-server) anbietet, sodass Computer in einem Netzwerk auf diesen Dienst zugreifen können. Nun gibt es unter Linux den root Nutzer. Dieser darf bekanntermaßen alles. Wenn du nun auf deiner lokalen Maschine in Netzwerk als root arbeiten würdest (was man nicht sollte) und du ein Netzlaufwerk via NFS einhängst, dann hast du auf diesem Laufwerk implizit root-Rechte. Damit könntest du einfach Daten anderer Leute (obwohl sie das nicht erlauben) einsehen und modifizieren und löschen. Root hat dabei einfach eine privilegierte Rolle.

Das Root-Squash ermöglicht es, den root-Nutzer eines entfernten Systems (also aus Sicht des Servers) hinsichtlich der verbundenen Clients) zu degradieren - er heißt weiterhin root, und kann auch lokal (auf seiner Maschine) als root walten und schalten, allerdings wird der root Nutzer über das NFS nicht mehr Privilegien haben, als der User, der sich regulär anmelden würde. (Ja, das ist etwas konfus formuliert.) Dies dient jedoch einfach dazu, dass auf einem Server NUR der Server-Root-Account der echte root ist, wer sich remote als root einloggt ist eben nicht mehr Superuser.

Ich hoffe, das hilft dir weiter.

 

[Ghost_Rider_R]

...das hilft mir sogar sehr viel weiter vielen Dank!!!
eine kleinigkeit wäre noch offen, du sagtest dass der Root dann die rechte als "normaler" user bekommt vom entfernen System.
Welche Rechte genau bekommt er, was darf er noch machen?

nochmals vielen Dank

 

[GuaRdiaN]

Ich vermute, dass das durch bestimmte policies einzustellen ist, sodass man hier schon noch differenzierte Optionen zur Verfügung hat. Hier kann ich aber nur spekulieren. Da sich der NFS-Client beim Server unter Bekanntgabe seiner Adresse (IP/MAC) authentisiert, sollte es möglich sein hier Rollen zuzuweisen. Daher ist meine Annahme, dass in realistischen Anwendungsszenarios der Root Nutzer nicht mehr Privilegien besitzt als der User, der sich normalerweise anmelden würden. Aber wie gesagt, das ist rein spekulativ, da solltest du vielleicht nochmal weitergehend recherchieren.