Evde-Ofiste Linux Ağı
Önceki NFS Dosya Paylaşımı

Evde-Ofiste Linux Ağı - Eylül 2003
Tanju Taşçılar - tanju@elektronist.com
Registered Linux User #283274

NFS Dosya Paylaşımında Güvenlik

NFS dosya sisteminin güvenliğini artırmak için bazı önlemler almamız yerinde olur. Bunun için hedef daraltan bazı ayarlamalar yapacağız. Öncelikle paylaşılan sistemlerdeki /etc/exports dosyasından başlayalım. Bu dosyada paylaşıma açılan dizinle birlikte onu kullanabilecekler de belirtilmekteydi. Kullanabilecekleri sınırlamamız güvenliği artıracaktır. Burada dikkat edilmesi gereken bir nokta NFS sisteminin kullanıcı tabanlı değil bilgisayar tabanlı olduğudur. Yani, paylaşıma açılan yere erişim hakkı olan bir bilgisayardaki bütün kullanıcılar bu alanı kullanabilirler. Şifre kullanımı bu alanı sınırlayabilir. Paylaşıma açılan kaynağın kullanıcısı olabilecek bilgisayarları belirtmek için şu değişiklikleri yapalım. Mesela 'izmir' bilgisayarımızın üzerindeki /home/izmirli/kullan adlı dizini 'istanbul' ve 'ankara' için paylaştıralım. Ancak bu dizine 'istanbul' yazma ve okuma hakkı ile bağlanabilirken 'ankara' yalnızca okuyabilsin.

  /home/izmirli/kullan 192,168.10.2(ro,sync) 192,168,10,3(rw,sync)

exportfs -ra komutu ile değişikliği geçerli hale getirdiğimizde yukarda yapmak istediğimiz gerçekleşir. /etc/exports dosyası üzerinde yapılacak değişikliklerde çok dikkatli olunması gerekir. Mesela yukarda yazdığımız satırı

  /home/izmirli/kullan 192,168.10.2(ro,sync) 192,168,10,3 (rw,sync)

şeklinde yazarsak istediğimizden tamamen farklı bir sonuç elde ederiz. Kaynak 192.168.10.2 için salt okunur olarak, ayrıca 192.168.10.3 için de salt okunur olarak açılmasının yanısıra işin kötüsü diğer bütün bilgisayarlar için hem okunur hem de yazılır olarak açılmaktadır. Korkunç bir fark.

Linux sisteminde /etc/hosts dosyasının yanında /etc/hosts.deny ve /etc/hosts.allow adlı iki dosya daha kullanılmaktadır. /etc/hosts.deny sisteme kabul edilmeyecek bilgisayarları, /etc/hosts.allow da kabul edilecekleri gösterir. Sistem önce kabul edilmeyeceklere bakar, sonra da kabul edileceklere. Eğer bir bilgisayar kabul edilecekler içinde yer alıyorsa bu geçerlidir. Şimdi bizim sistemimize göre 'izmir' bilgisayarı için 'istanbul' ve 'ankara'nın erişimini kabul eden diğerlerini reddeden bir ayar yapalım.

/etc/hosts.deny dosyası:

   portmap: ALL

/etc/hosts.allow dosyası:

   portmap: 192.168.10.2 192.168.10.3

Artık sistemimizi kullanabiliriz. Bu konu aslında çok daha geniş. Ancak bu anlatılanlarla en azından çalışan bir ağ sisteminiz olmakta.

Bu yazılarda anlatılanlar, isim ve numaralar değişik olacak şekilde üç bilgisayarda kurulmuş ve çalışmakta olan bir sistem üzerinden anlatılmıştır.


Önceki Ön sayfa
NFS Dosya Paylaşımı Evde-Ofiste Linux Ağı

Bu ve ilişkilendirilmiş yazılar GPL lisansına göre yayınlanmaktadır. Bütün hakları yazarına aittir. Yazarının ismi belirtilerek serbestçe dağıtılabilir ve kullanılabilir. Ancak bunların hiçbiri, hiçbir şekilde ve şartta GPL lisansı haricinde kullanılamaz. Burada yer alanları bulundurmaktan, kullanmaktan veya alıntı yapmaktan dolayı hiçbir sunucu, servis veya protokol, yazı veya içeriği üzerinde hak iddia edemez. info@elektronist.com