NFSで利用するポートを固定する

2010/03/24PC::Linux/BSD

NFSサーバーのポートの固定をしたときのメモ。

環境

  • Debian GNU/Linux 4.0/i386
    • Kernel 2.6.18-6-686
    • nfs-kernel-server 1.1.0.10-6+etch.1

NFSが利用するポート

NFSが利用するポートは以下の通り。

  • portmapper: 111/tcp, 111/udp
  • nfs: 2049/tcp, 2049/udp
  • statd: 不定/tcp, 不定/udp
  • nlockmgr: 不定/tcp, 不定/udp
  • mountd: 不定/tcp, 不定/udp

上記のように、nlockmgr, statd, mountdが利用するポートは不定の為、iptablesでルールを記述することができません。ですので、iptablesを用いたセキュアな環境を構築するためにはこれらのポートを固定する必要があります。

NFSのポートを固定する

statdの固定

/etc/default/nfs-common

# If you do not set values for the NEED_ options, they will be attempted
# autodetected; this should be sufficient for most people. Valid alternatives
# for the NEED_ options are "yes" and "no".

# Options for rpc.statd.
#   Should rpc.statd listen on a specific port? This is especially useful
#   when you have a port-based firewall. To use a fixed port, set this
#   this variable to a statd argument like: "--port 4000 --outgoing-port 4001".
#   For more information, see rpc.statd(8) or http://wiki.debian.org/?SecuringNFS
STATDOPTS="--port 49152 --outgoing-port 49155"

# Some kernels need a separate lockd daemon; most don't. Set this if you
# want to force an explicit choice for some reason.
NEED_LOCKD=

# Do you want to start the idmapd daemon? It is only needed for NFSv4.
NEED_IDMAPD=

# Do you want to start the gssd daemon? It is required for Kerberos mounts.
NEED_GSSD=

STATDOPTSのパラメータ指定で入力側ポートと出力側ポートを指定します。
上記の例では入力に両方でプライベートポート*1である49152を、出力にも49155を指定しています。*2

nlockmgrの利用するポートの固定

/etc/modprobe.d/options.local
このファイルは用意されていないので、作成する必要があります。混乱を避けるためにあえて私は新規に作成していますが、modprobe.confに記述してもよいかと。

options lockd nlm_udpport=49153 nlm_tcpport=49153

新規に作成、もしくは既存のmodprobe.confに上記を記述します。上記の例ではnlockmgrの利用するポートを49153/tcp, 49153/udpを指定しています。

mountdの使用するポートの固定

/etc/init.d/nfs-kernel-server

  • 中略-
log_progress_msg "mountd" start-stop-daemon --start --oknodo --quiet --exec $PREFIX/sbin/rpc.mountd -- $RPCMOUNTDOPTS -p 49154 if [ $? != 0 ]; then
  • 後略-

nfs-kernel-serverの起動スクリプト中でポート番号の指定を書き加えます。
上記の例では49154番ポートを利用するように指定しています。

*1 : 49152~65535

*2 : 同じポートを指定すると正常に動作しない

確認する

設定が完了したら、nfs-kernel-serverの場合nlockmgrのポートの選定は起動時に行われるため、再起動が必要です*3。再起動後に、以下のコマンドでどのポートが利用されているかを確認することができます。

# rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100021    1   udp  49153  nlockmgr
    100021    3   udp  49153  nlockmgr
    100021    4   udp  49153  nlockmgr
    100021    1   tcp  49153  nlockmgr
    100021    3   tcp  49153  nlockmgr
    100021    4   tcp  49153  nlockmgr
    100024    1   udp  49152  status
    100024    1   tcp  49152  status
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100005    1   udp  49154  mountd
    100005    1   tcp  49154  mountd
    100005    2   udp  49154  mountd
    100005    2   tcp  49154  mountd
    100005    3   udp  49154  mountd
    100005    3   tcp  49154  mountd

参考

*3 : nfs-user-serverではどうだかわかりません

samba経由で別のnfsサーバの公開領域に書き込みができるようにする

2010/02/26PC::Linux/BSD

sambaファイルサーバに、別のnfsサーバが公開している領域をマウントさせ、その領域をsamba経由で公開する場合のメモ。

環境

sambaサーバ

  • Debian GNU/Linux 4.0/i386
    • samba 3.0.24-6etch10

nfsサーバ

  • Debian GNU/Linux 5.0/i386
    • nfs-kernel-server 1.1.2-6lenny1

samba側サーバのnfs領域公開設定

NFSのマウント設定は別記事の設定を参照

/etc/samba/smb.conf

[nfs-srv]
            path = /mnt/nfs/nfs-srv
            writable = yes
            create mask = 0660
            directory mask = 0770
            guest ok = no

この状態で使ってみる

この状態でWindowsクライアントからファイルを書き込もうとすると、以下のエラーが発生します。

smb_error.jpg

クライアントの挙動として、以下のようになります。

  • nfs公開ファイルの読み込み: 問題なし
  • nfs公開領域へのフォルダ作成: 問題なし
  • nfs公開領域へファイル書き込み: エラー発生

対処方法

/etc/samba/smb.confのglobalセクションに以下を追加します。

kernel oplocks = no

kernel oplocks

カーネルoplocks をサポートしているUNIX(現在はIRIXとLinux 2.4カーネルのみ)の場合、 このパラメータにより oplock の利用を制御できる。

カーネル oplocks のサポートにより、 smbd(8) が oplock を行ったファイルに対して、 ローカルな UNIX プロセスや NFS 経由でのアクセスがあった際に、 Sambaが oplocks を破棄することが可能となる。 これにより、 SMB/CIFS と NFS やローカルファイルアクセスとの間の完全な一貫性が確保される (これは非常に素晴らしいことである :-)。

このパラメータのデフォルト値は、 on であるが、 カーネルがこの機能をサポートしていないシステムでは、自動的に無効にされる。 このパラメータを変更する必要はないであろう。

デフォルト:
kernel oplocks = yes

smb.conf(5)

ちなみに、共有セクションにoplocks = noと記述しても問題は解決されませんでした。

autofsの設定

2010/02/23PC::Linux/BSD

NFSサーバの公開領域を自動的にマウントさせる仕組みを実装したときのメモ。

環境

  • Debian GNU/Linux 4.0/i386

実装手順

1. autofsパッケージのインストール

# apt-get install autofs
Reading package lists... Done  
Building dependency tree... Done
The following NEW packages will be installed:
  autofs                                     
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 113kB of archives.                                
After unpacking 483kB of additional disk space will be used.  
Get:1 http://ftp.jp.debian.org etch/main autofs 4.1.4-13 [113kB]
Fetched 113kB in 0s (202kB/s)                                   
Selecting previously deselected package autofs.                 
(Reading database ... 35294 files and directories currently installed.)
Unpacking autofs (from .../autofs_4.1.4-13_i386.deb) ...               
Setting up autofs (4.1.4-13) ...                                       

Creating config file /etc/auto.master with new version

Creating config file /etc/auto.misc with new version

Creating config file /etc/auto.net with new version

Creating config file /etc/auto.smb with new version

Creating config file /etc/default/autofs with new version
Starting automounter: loading autofs4 kernel module, no automount maps defined.

2. マスタマップファイルの編集

/etc/auto.master に、最終行を追加。

#
# $Id: auto.master,v 1.4 2005/01/04 14:36:54 raven Exp $
#
# Sample auto.master file
# This is an automounter map and it has the following format
# key [ -mount-options-separated-by-comma ] location
# For details of the format look at autofs(5).
#/misc  /etc/auto.misc --timeout=60
#/smb   /etc/auto.smb
#/misc  /etc/auto.misc
#/net   /etc/auto.net
/mnt/nfs        /etc/auto.nfs   --timeout=300

上記の例では、以下のように設定しています。

  • マウントベース(NFSサーバのマウントポイントが格納されるディレクトリ): /mnt/nfs
  • マウントベース毎のマップファイル*1: /etc/auto.nfs
  • automountデーモンに渡すオプション: --timeout=300 (5分後に自動的にアンマウントされる)

3. NFS用のマップファイルの作成

/etc/auto.nfs を新規作成します。

nfs-srv   -fstype=nfs,rw,hard,intr,rsize=32768,wsize=32768  192.168.0.1:/data

上記の例では、以下のように設定しています

  • NFSサーバ192.168.0.1の/dataディレクトリをマウントする
  • マウントポイントは/mnt/nfs/nfs-srvとする
  • マウントオプションはrw,hard,intr,rsize=32768,wsize=32768とする *2
  • fstypeでは、ファイルシステムタイプ(nfs)を指定しています

4. automountデーモンの起動

auto.masterを変更後は、automountデーモンに再読み込みさせなければなりません。
手っ取り早く再起動させます。

# /etc/init.d/autofs restart
Stopping automounter: done.
Starting automounter: done.

5. 動作確認

/mnt ディレクトリ内を確認します。

# ls /mnt
nfs

自動的にマウントベースが作成されています。

続けて、/mnt/nfs ディレクトリ内を確認します。

# ls /mnt/nfs

現時点では何もありません。

続けて、カレントディレクトリを/mnt/nfs/nfs-srvに移動してみます。

# cd/mnt/nfs/nfs-srv
/mnt/nfs/nfs-srv#

上記の時点では何もないので、"No such file or directory"と通常であれば怒られるところですが、正常に移動できています。この時点でlsを実行してみればNFSサーバで公開しているファイル類が表示されるはずです。

最後に、mountコマンド等の実行結果で確認してみます。

# mount
中略
automount(pid24357) on /mnt/nfs type autofs (rw,fd=4,pgrp=24357,minproto=2,maxproto=4)
192.168.0.1:/data on /mnt/nfs/nfs-srv type nfs (rw,hard,intr,rsize=32768,wsize=32768,addr=192.168.0.1)

# cat /etc/mtab
中略
automount(pid24357) /mnt/nfs autofs rw,fd=4,pgrp=24357,minproto=2,maxproto=4 0 0
192.168.0.1:/data /mnt/nfs/nfs-srv nfs rw,hard,intr,rsize=32768,wsize=32768,addr=192.168.0.1 0 0

# cat /proc/mounts
中略
automount(pid24357) /mnt/nfs autofs rw,fd=4,pgrp=24357,timeout=300,minproto=2,maxproto=4,indirect 0 0
192.168.0.1:/data /mnt/nfs/nfs-srv nfs rw,vers=3,rsize=32768,wsize=32768,hard,intr,proto=tcp,timeo=600,retrans=2,sec=sys,addr=192.168.0.1 0 0

*1 : 今回だと/mnt/nfs用のマップファイル

*2 : mountコマンドや/etc/fstabに記述するオプションと同じ

rootパスワードを忘れた時の対処

2010/02/12PC::Linux/BSD

rootパスワードを忘れた時の対処メモ。

環境

  • VMware Player 3.0.0
    • Debian GNU/Linux 5.0(lenny)/i386

手順

1. GRUBメニューで"E"を入力し、編集モードへ移行する。

deb-chrootpass1.jpg

2. kernel行にフォーカスを写し、さらに"E"を入力し、既存kernel行を編集する

deb-chrootpass2.jpg

3. "S init=/bin/sh"を追加する

deb-chrootpass3.jpg

この追加した部分の意味は以下の通り。

  • S: シングルユーザーモード(ランレベル1)で起動
  • init=/bin/sh: initプロセスの代わりに、/bin/sh(シェル)を直接起動する

編集が完了したら"Enter"を入力し、変更を反映させる。

4. "B"を入力し、変更したパラメータで起動させる。

deb-chrootpass4.jpg

5. rootでシェルに入ることができるようになっているので、passwdコマンドで新しいrootパスワードへ変更する。

以下の図では、ルートパーティションがrwとなっていることを確認するためにmountコマンドを実行しています。

deb-chrootpass5.jpg

このとき、キーボードが英語になっているので注意すること。

私は、簡単なパスワードで設定しておき、通常起動させた後(日本語キーボードして認識させた後)にパスワードを再度設定し直すことにしました。

パスワード変更後は再起動させればいいのですが、/sbin/shutdownを実行しても再起動できません。rebootコマンドで再起動することができます*1

*1 : あるいは、Ctrl+Alt+Deleteでも再起動できます

ファイルシステムが格納されたファイルを作ってみた

2010/02/02PC::Linux/BSD

mkswapコマンドで、スワップ領域として利用する元としてファイルが指定できる。
50MBのスワップとして利用できるファイルを作成し、利用する一連の動作を実際にやってみた。

スワップ領域として利用するファイルの作成

# dd if=/dev/zero of=/tmp/swp bs=1M count=50
50+0 記録始め
50+0 記録終わり
52428800 バイト (52 MB) コピー終了, 0.109074 s, 481 MB/s

ファイルをスワップ領域として利用できるようにする

# mkswap /tmp/swp
スワップ空間バージョン 1 を設定します、サイズ = 51196 KiB
no label, UUID=b1e1f86f-1d8b-4fbf-9015-3b7543cb6730

/tmp/swpをスワップ領域として利用する

# swapon /tmp/swp

現在のスワップ領域に関する情報を表示

# swapon -s
Filename                                Type            Size    Used    Priority
/dev/sda5                               partition       4200956 0       -1
/tmp/swp                                file            51192   0       -2

で、本題

スワップファイルだけではなく、同じようにファイルシステムもファイルの中に作れるのではないか?(仮想ディスクとして扱うことができるのではないか?)

やってみた

先ほどと同様にファイルシステムを作成するための空ファイルを作成します。

# dd if=/dev/zero of=/tmp/virtualdisk bs=1M count=100
100+0 記録始め                                                           
100+0 記録終わり                                                         
104857600 バイト (105 MB) コピー終了, 0.199313 s, 526 MB/s  

ext3ファイルシステムを作成します。

# mkfs.ext3 -b 4096 -c -m 0 /tmp/virtualdisk 
mke2fs 1.41.4 (27-Jan-2009)                                      
/tmp/virtualdisk is not a block special device.                  
Proceed anyway? (y,n) y                                          
Filesystem label=                                                
OS type: Linux                                                   
Block size=4096 (log=2)                                          
Fragment size=4096 (log=2)                                       
25600 inodes, 25600 blocks                                       
0 blocks (0.00%) reserved for the super user                     
First data block=0                                               
Maximum filesystem blocks=29360128                               
1 block group                                                    
32768 blocks per group, 32768 fragments per group                
25600 inodes per group                                           

Checking for bad blocks (read-only test): done                                
Writing inode tables: done                                                    
Creating journal (1024 blocks): done                                          
Writing superblocks and filesystem accounting information: done               

This filesystem will be automatically checked every 21 mounts or
180 days, whichever comes first.  Use tune2fs -c or -i to override.

途中でブロックスペシャルデバイスではないと言われていますが、作成することはできました。


マウントポイントを作り、マウントしてみます。

# mkdir /tmp/vdisk
# mount -t ext3 -o defaults,loop /tmp/virtualdisk /tmp/vdisk/

何事もなくマウントできました。すげー。

mountコマンドと、dfコマンドで現在のマウント状況を表示してみます。

# mount
中略
/dev/loop0 on /tmp/vdisk type ext3 (rw)
# df -h
ファイルシステム            サイズ  使用  残り 使用% マウント位置
中略
/dev/loop0             97M  4.1M   93M   5% /tmp/vdisk

この後実際に書き込んだりしてみましたが、問題なくファイルの作成とかもできてしまいました。Linuxすげー。