QNAP shares über NFS mit richtigem Nutzer einbinden

Hi Leute. Ich wühle mich seit Stunden durchs Netz, finde aber einfach nichts passendes. Vielleicht hab ich auch nur ein Verständnisproblem.

QNAP NAS mit:

  • SMB/NFS Freigaben
  • Spezifischem Benutzer mit Rechtezuteilung auf die jeweiligen Ordner

Unter Windows:

  • Benutzer mit identischem Namen/Kennwort wie auf der NAS
  • Netzlaufwerk verbinden - fertig. Rechte passen.

Unter Linux:

  • Mounten per NFS klappt
  • Rechte passen jedoch nicht, da QNAP/NFS den Zugriff wohl als “guest” laufen lässt

Ich möchte unter Linux die Verbindung mit NFS herstellen wie mit Windows und SMB.
Geht das per se einfach nicht, oder warum finde ich nirgendwo etwas darüber?

Also NFS hat keine Möglichkeit sich als Benutzer anzumelden, damit kann es nicht als “Gast” laufen, das wäre dann Samba und nicht NFS.

In other words, once a file system is exported via NFS, any user on any remote host connected to the NFS server can access the shared data.

https://web.mit.edu/rhel-doc/5/RHEL-5-manual/Deployment_Guide-en-US/s1-nfs-security.html

1 Like

Wahnsinn. Danke. Also doch ein Verständnisproblem. DAS war mir schlicht nicht bewusst!

Macht es dann generell Sinn, NFS in einem privaten Heimnetzwerk zu nutzen?
Mein Kenntnisstand sagt mir, dass NFS das effizientere/performantere System ist und wenn ich schon ggf. auf Linux umsteige dachte ich, es macht Sinn nicht noch SMB zu nutzen.

Oder machen das auch Linux-User so?
Ich mein, die Wahrscheinlichkeit dürfte gering sein, dass jemand mein Netzwerk hackt, aber wenn doch hätte er direkt Zugriff auf alles, was ich mit NFS freigebe??

1 Like

Hallo CaseSensitive,
natürlich macht es Sinn, NFS zu benutzen, genau aus den von dir genannten Gründen

Was die User betrifft, so sollten sie auf Server und Client übereinstimmen, wenn nicht kannst Du NFSv4 idmapping machen.
https://wiki.archlinux.org/index.php/NFS#Enabling_NFSv4_idmapping
aber sieh dir ruhig den ganzen Artikel an.

auf Ip/Interfaces begrenzen wäre keine schlechze Idee.
https://wiki.archlinux.org/index.php/NFS#Restricting_NFS_to_interfaces/IPs

viele Grüße gosia

2 Likes

In einem lokalen Netzwerk sollte das kein Problem darstellen, würde ich meinen, aber wie gesagt: Jeder, der im Intranet ist, kann darauf zugreifen. Was du aber machen kannst, ist, die IP Adressen begrenzen, die auf das NFS zugreifen dürfen.

Schau dir ruhig den erwähnten Wiki Artikel von @gosia an :wink:

Naja das stimmt aber nicht so ganz. Selbst wenn das ganze Subnetz auf die NFS Freigabe zugreifen kann, kann noch lange nicht jeder auf alle Dateien zugreifen.

Bei NFS werden die normalen Dateisystem Rechte verwendet. Wenn ein Ordner nur von einem Benutzer geöffnet werden kann, dann kann auch nur dieser den Inhalt sehen.

Allerdings gibt es da einen kleinen Hacken, das ganze basiert auf den Benutzer und Gruppen IDs vom Server und Client. Das heißt wenn Max auf seinem PC die ID 1000 hat und Moritz auf seinem System auch die ID 1000, dann ist das für den NFS Server der selbe User mit der ID 1000.

Und dann gibt es da natürlich noch solche Optionen wie all_squash . So was wird oft bei fertig NAS system verwendet. Das mapped alle IDs auf den Gast und dann kann natürlich jeder auf alles zugreifen. Dadurch wird es einfacher, gerade bei Home Systemen wo Sicherheit nicht so wichtig ist.

Das NFSv4 idmapping ist ein bisschen besser, aber ohne einen Kerberos Server, hat man immer noch das selbe Problem.

Danke. Die erwähnten Artikel übersteigen zumindest meine aktuellen Linuxfähigkeiten. An eine Umsetzung mache ich mich daher besser wohl nicht ran. Zumindest nicht ohne Hilfestellung.

Ich hab bei QNAP aktuell die “Erweiterten Ordnerzugriffsrechte” deaktiviert. Hatte diese früher mal aktiviert und das hat Probleme gemacht mit den Zugriffsrechten. Daher läuft die ganze Rechteverwaltung momentan wohl mit root und den verschiedenen _squash Einstellungen.

Weiß echt noch nicht, ob ich NFS deaktivieren und dafür die schlechtere Performance von SMB oder die ggf. (zumindest wenn nicht weiter konfigurierte) unsicherere NFS nutzen soll.

Hallo CaseSensitive,

naja, in einem rein lokalen Netzwerk ist NFS so unsicher nun auch nicht, daß man es nicht verwenden könnte. Das User-Problem ist ja leicht überschaubar und wenn Du nicht Kerberos benutzen möchtest so hilft die Server-Option root_squash schon weiter.
Samba ist ja auch nicht frei von Sicherheitslücken


wobei ich das grösste Problem darin sehe, daß viele (oder manche) NAS nur Samba in der alten Version 1 anbieten, wenn ich es recht sehe.
Die Entscheidung liegt natürlich bei dir.
Was die Performance betrifft, so wirst Du wohl im normalen Betrieb praktisch den Unterschied kaum bemerken.

viele Grüße gosia

Meinste? Wenn ich mal größere Menge Daten von/auf die NAS kopiere z.B.?

Oder wenn ich die NAS als “generelles Laufwerk” einbinden möchte um bspw. für LBRY die Downloads/blobfiles darauf unterzubringen?

Hallo CaseSensitive,

Ok, vielleicht habe ich den Mund etwas zu voll genommen. Klar, kommt drauf an, was Du machst und welche Erwartungen Du hast. Mir sind Unterschiede von sagen wir mal 30 Sekunden eigentlich egal, aber das siehst Du vielleicht anders. Insofern kam es mir eher drauf an, daß ich die Performance nicht als Hauptkriterium sehe. Aber das wir uns richtig verstehen, meine Empfehlung liegt trotzdem immer noch bei NFS.
Um etwas Butter bei die Fische zu bekommen, kannst Du dir ja diese Statistiken ansehen:

viele Grüße gosia

1 Like

Danke für den Link. Nicht uninteressant. SMB schneidet da jetzt ja nicht sooo schlecht ab.
Dennoch würde ich gerne NFS nutzen, wenn es sich einfacher integrieren ließe.

Keine Ahnung. Hab jetzt nach x Tagen immer noch nicht diese Basisaufgaben erledigt, weil ich im Zwiespalt bin. Ziemlich ernüchternd.