NFSエクスポート

NFS ネットワークを介してUnixシステム間でファイルを共有するための最も一般的なプロトコルです。 NFSサーバーは、ローカルハードディスクからNFSクライアントにディレクトリをエクスポートします。NFSクライアントは、他のディレクトリと同じようにアクセスできるようにディレクトリをマウントします。 Windowsネットワーク、Netware、AppleShareなどの他のファイル共有プロトコルとは異なり、NFSは複数のユーザーがいるクライアントシステムをサポートするように設計されています。これは、クライアントがサーバーにログインすることはなく、サーバーがクライアントをほぼ完全に信頼してユーザーを認証することを意味します。欠点は、NFSが完全に信頼されていないクライアントシステムとファイルを共有するための適切なプロトコルではないことです。

NFSは、認証にユーザー名とパスワードを使用する代わりに、クライアントのIPアドレスを使用します。信頼できるクライアントのみがサーバーからディレクトリをマウントできるため、ネットワーク上のクライアントからの不正なファイルアクセスに対して脆弱ではありません。クライアント上の特定のUnixユーザーのアクセスを制限するか、クライアントからのすべての要求を単一のユーザーとして扱うことで、セキュリティを強化できます。

Linuxでは、 / etc / exports ファイルには、NFSによってエクスポートされたディレクトリとそれらがエクスポートされたクライアントの永続的なリストが含まれています。通常、このファイルは、NFS要求を処理するためにバックグラウンドで実行されるnfsdおよびmountdプログラムによって起動時に読み取られます。 Webminを使用してエクスポートを変更または作成すると、エクスポートファイルが直接更新されます。

Linuxでは、NFSサーバーの構成はNFSエクスポートを使用して行われます。 ネットワークカテゴリの下にあるモジュール。モジュールに入ると、メインページに次のようにエクスポートされたディレクトリとそれらへのアクセスが許可されているクライアントのリストが表示されます。

エクスポートされたファイルシステムのないNFS

ほとんどのLinuxディストリビューションには、NFSファイル共有に必要なプログラムがデフォルトでインストールされています。ただし、Webminがシステムにそれらが欠落していることを検出した場合、モジュールに入るときにエラーメッセージが表示されます。その場合は、 nfs-serverをインストールする必要があります またはnfs パッケージ。

コンテンツ

ディレクトリのエクスポート

NFS経由でエクスポートできるのはローカルファイルシステム上のディレクトリのみであるため、別のNFSサーバーからマウントされたファイルを再エクスポートすることはできません。また、vfat、ntfs、iso-9660などの非Unixファイルシステムからディレクトリをエクスポートすることもできません。エクスポートされたディレクトリの下にマウントポイントがある場合、それらのマウントポイントの下のファイルにはNFSクライアントからアクセスできません。したがって、ルートディレクトリ/をエクスポートし、 / homeに別のファイルシステムをマウントしている場合 、 / homeもエクスポートする必要があります クライアントは、その下のファイルを表示するためにそれをマウントする必要があります。

NFSv4エクスポートを作成する

詳細のエクスポート

エクスポートするディレクトリ

多数の個別のエクスポートをマウントする代わりに、NFSv4クライアントは、NFSv4サーバーのエクスポートをNFSv4疑似ファイルシステムと呼ばれる単一のファイルシステム内に存在するものとして認識します。したがって、NFSv4の場合、このディレクトリは最初に（mount --bindを使用して）NFSv4疑似ファイルシステムにマウントされ、疑似ファイルシステムがエクスポートされ（そうでない場合）、次にディレクトリがエクスポートされます。
クライアントがマウントせずにディレクトリ内を移動できるように、このディレクトリを非表示にせずにエクスポートすることをお勧めします。

他のNFSサーバーとは異なり、Linuxは、別のホストからNFSマウントされたディレクトリの再エクスポート、および他のファイルシステムのマウントポイントを含むディレクトリのエクスポートをサポートしています。

エクスポートするNFSv4疑似ファイルシステム

NSFv4のみ 通常、 / export ディレクトリは、エクスポートされたnfsディレクトリをマウントするために使用されます。 / etc / fstabの対応するエントリ 疑似ファイルシステム内でnfsv4エクスポートを作成するときに作成されます。

アクティブ

エクスポートを利用できないようにする場合を除き、オプションがはいに設定されていることを確認してください。 。

エクスポート先

ディレクトリにアクセスできるクライアントを選択します。可能な選択肢は次のとおりです。

• 全員 ネットワーク経由で接続できるシステムであれば、ディレクトリをマウントできます。インターネット上の誰もがあなたのファイルにアクセスできる可能性があるため、この選択には十分注意してください。
• ホスト 指定された単一のホストまたはIPアドレスのみが許可されます。 *。foo.comのようなワイルドカードのホスト名を入力することもできます ドメインからのすべてのホストを許可するこのオプションの場合。ただし、ディレクトリを複数の特定のクライアントホストにエクスポートする場合、唯一の解決策は、同じディレクトリの複数のエクスポートを作成し、それぞれがこのフィールドに異なるホスト名を使用することです。
• NISネットグループ ネットグループは、NISサーバーで定義されているホストのリストです。これを有効にするには、システムがNISクライアントである必要があります。
• IPv4ネットワーク 指定されたネットワーク上のすべてのホストが接続を許可されます。 192.168.1.0のIPアドレスを持つすべてのホストを許可するには 192.168.1.255へ 、 192.168.1.0と入力します ネットワークおよび255.255.255.0 ネットマスク用。
• IPv6ネットワーク 指定されたサブネット内のすべてのホストがアクセスを許可されます。

セキュリティレベル

NSFv4のみ このフィールドは、クライアントが使用する必要のあるセキュリティレベルを決定します。複数のレベルを選択でき、優先レベルが最初に試されます。

エクスポートセキュリティ

読み取り専用

クライアントがエクスポートされたディレクトリでファイルを変更または作成できないようにする場合は、はいに設定します。

リモートユーザーを信頼する

全員 信頼できるシステムにのみエクスポートする場合。デフォルトでは、他のシステムのrootアカウントを信頼しないでください。

信頼できないユーザーを

として扱います

このオプションは、信頼できないクライアントユーザーとして扱われるローカルユーザーを決定します。 UIDを入力するか、ユーザーを選択するか、デフォルトを選択できます。 exportfsオプション：anonuidデフォルト：-2またはnobody

信頼できないグループを

として扱います

このオプションは、信頼できないクライアントグループとして扱われるローカルグループを決定します。 GIDを入力するか、グループを選択するか、デフォルトを選択できます。 exportfsオプション：デフォルト：-2またはnobody

サブツリーチェックを無効にする

このオプションは、サブツリーチェックを無効にします。これは、セキュリティに軽度の影響を及ぼしますが、状況によっては信頼性を向上させることができます。
ファイルシステムのサブディレクトリがエクスポートされたが、ファイルシステム全体がエクスポートされていない場合、NFS要求が到着するたびに、サーバーはアクセスされたファイルが適切なファイルシステム（簡単）にあることだけでなく、ファイルシステムにあることも確認する必要があります。エクスポートされたツリー（難しい）。

すべての書き込みを即時同期

このオプションを有効にすると、このエクスポートに対するクライアントによるすべてのNFS書き込みは、成功がクライアントに報告される前にディスクに書き込まれます。これは遅くなりますが、データの整合性が保証されます。このオプションが無効になっている場合、NFSクライアントによる書き込みは後でまでバッファリングされる可能性があります。
exportfsオプション：sync、asyncデフォルト：有効（ただし、1.0.0より前のnfs-utilsのリリースでは無効）

シンボリックリンクを相対的にする

これはNFSv2固有のオプションです。 クライアントから見た絶対シンボリックリンクを相対リンクに変換します。たとえば、ディレクトリ / usrの場合 / usr / local / binからのリンクがエクスポートされました / usr / X11R6 / binへ ../ X11R6 / binに変換されます 。これは、クライアントがディレクトリを / usr以外の場所にマウントしている場合に非常に意味があります。 。

クライアントは安全なポート上にある必要があります

このオプションを選択した場合、NFSクライアントは1024未満のUDPまたはTCPポートを使用する必要があります。これにより、Unixクライアントに追加のセキュリティが提供されますが、一部のWindowsNFS実装に干渉する可能性があります。 exportfsオプション：安全、安全でない

ディレクトリへのアクセスを拒否する

これはNFSv2固有のオプションです。 このオプションを選択すると、指定したクライアントはこのディレクトリ内の何にもアクセスできなくなります。このオプションは、親ディレクトリをエクスポートする場合にのみ非常に役立ちますが、一部のサブディレクトリへのアクセスを拒否する場合に役立ちます。 exportfsオプション：noaccess

ファイルシステムを非表示にする

[はい]に設定すると、クライアントは、このファイルシステムでエクスポートされたファイルシステムを個別にマウントする必要があります。 [いいえ]に設定すると、効果的に自動的にマウントされます。

UIDを信頼しない

これはNFSv2固有のオプションです。マッピングデーモンugiddが実行されている必要があります。 [リモートユーザーの信頼]セクションに加えて、このオプションを使用すると、信頼できないユーザーとして扱われるクライアントUIDのリストを指定できます。 UIDまたは1、10、20〜25、100〜150などのUID範囲のコンマ区切りリストを入力する必要があります。 exportfsオプション：squash_uids、map_daemon

GIDを信頼しないでください

これはNFSv2固有のオプションです。マッピングデーモンugiddが実行されている必要があります。 UIDを信頼しないのと同様に、このオプションを使用すると、信頼できないグループとして扱われるクライアントGIDのリストを指定できます。 GIDまたは1,10,20-25,100-150などのGID範囲のコンマ区切りリストを入力する必要があります。 exportfsオプション：squash_gids、map_daemon

作成をクリックします ボタンをクリックしてエクスポートを保存します。いずれかのフィールドを間違えた場合は、説明エラーメッセージが表示されます。それ以外の場合、ブラウザはエクスポートのリストに戻ります。

NFSエクスポートを作成する

これで、許可されたクライアントがエクスポートされたディレクトリをマウントできるようになります。そうでない場合は、システムのエラーログで、クライアントが拒否されている理由を説明するNFSサーバープロセスからのメッセージを確認してください。

NFSエクスポートの編集または削除

次の手順に従って、既存のNFSエクスポートのすべての詳細をいつでも編集できます。

1. モジュールのメインページで、[エクスポート先]の下のクライアントをクリックします。 編集する列。 1つのディレクトリを異なるクライアントに複数回エクスポートする場合は、各ディレクトリを個別に編集する必要があります。
2. エクスポート編集フォーム（上のスクリーンショットとほぼ同じ）で、共有するディレクトリを含むオプションを変更します。
3. エクスポートを削除する場合は、削除をクリックします ページの右下にあるボタン。それ以外の場合は、[保存]をクリックします 変更を保存します。いずれにせよ、ブラウザはモジュールのメインページに戻ります。
4. 変更の適用をクリックします ボタンをクリックして、変更をアクティブにします。

モジュールのメインページでディレクトリをクリックすると、既存のNFSエクスポートを編集または削除できます。変更を加える場合は、変更の適用をクリックする必要があります ボタンを押してアクティブにします。

ディレクトリのインポート

別のシステムによってエクスポートされた方向を「インポート」するには、ディスクおよびネットワークファイルシステムを使用できます。また、NFSv4疑似ファイルシステムを使用する場合、NFSエクスポートはエクスポートするシステムに「再インポート」されます。

構成

NFS構成