Рейтинг:4

Пользователи не могут создавать файлы/каталоги на монтировании NFSv3, но могут изменять

флаг pr

У меня есть два сервера RHEL 6, один из которых является сервером NFS (назовем его nfs-сервер, скажем, его IP 10.1.1.1), а другой — универсальный клиент для всех целей и задач (назовем его nfs-клиент, скажем, его IP 10.0.0.1).

Обе nfs-сервер и nfs-клиент подключены к одной и той же централизованной системе аутентификации, поэтому идентификаторы UID/GID одинаковы для данного пользователя.

nfs-клиент монтирует общий ресурс NFSv3 из nfs-сервер:/общая_папка/кеш к /общая_папка/кэш.

/Общая папка каталог на nfs-сервер находится в режиме 755, принадлежит корень: корень, и /общая_папка/кэш каталог находится в режиме 2775, принадлежит кеш: кеш (UID=20014, GID=20004).

У меня есть набор пользователей, которые все являются членами тайник группу в LDAP, но они не могут создавать или удалять что-либо в /общая_папка/кэш сам каталог на nfs-клиент. Однако:

  • Если файл уже существует в /общая_папка/кэш который имеет правильные разрешения (доступно для записи группой тайник), пользователи могут изменять файл, но не удалять его (например, если /общая_папка/кэш/тестовый файл существует и доступен для записи тайник группа, пользователи могут изменять содержимое файла, но не могут его удалить)
  • Если подкаталог уже существует в /общая_папка/кэш который имеет правильные разрешения (режим 2775, принадлежит кеш: кеш), пользователи могут изменять каталог как обычно (например, если /общая_папка/кэш/каталог тестов/ существует в режиме 2775 и принадлежит тайник группа, пользователи могут добавлять/изменять/удалять файлы и каталоги в testdir, но не может удалить testdir сам)
  • Если я войду как один из пользователей на nfs-сервер, внезапно я могу создавать/изменять/удалять файлы и каталоги, как обычно, в пределах /общая_папка/кэш

Как я могу исправить это монтирование NFS? Диагностическая информация находится ниже горизонтального правила.


Результат идентификатор пользователя1 на обоих nfs-сервер и nfs-клиент показывает:

uid=8173(<имя пользователя>) gid=8173(<имя пользователя>) groups=20004(кеш)

nfs-сервер имеет следующий экспорт, настроенный в /etc/экспорт:

"/shared_folder/cache" <nfs-client-IP>(rw)

Результат экспортфс -v на nfs-сервер показывает:

/общая_папка/кэш
                   <nfs-client-IP>(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,root_squash,no_all_squash)
PatrickTaylor avatar
флаг it
Из любопытства может ли пользователь кеша (uid 20014) создавать и удалять файлы в /shared-folder/cache из клиента nfs?
rst-2cv avatar
флаг pr
Да, может @PatrickTaylor
Рейтинг:1
флаг my

Для удаления файла требуются права записи в каталоге.

Вы правильно поставили RW в параметрах монтирования, но что-то не так на стороне NFS (поскольку вы можете удалить файлы, войдя на сервер).

Некоторые вещи, которые я бы сделал:

  • Проверьте umask по умолчанию.

  • Проверьте права доступа к файлам с помощью лсатри getfacl.

  • Убедитесь, что никто другой не имеет доступа к этому файлу, пока вы пытаетесь его удалить (lsof).

  • Если SELinux находится в принудительном режиме, проверьте журналы аудита (желательно с помощью аудит2почему).

  • Попробуйте добавить опцию синхронного монтирования.

В крайнем случае удалите и снова создайте пользователей и группы на сервере и перезапустите сервер NFS.

rst-2cv avatar
флаг pr
Спасибо за ответ. Umask в порядке (`0002` и `0022` для всех соответствующих пользователей), нигде в структуре каталогов не установлены FACL, lsattr не показывает ничего неправильного, SELinux отключен (не мой выбор, но, по крайней мере, мы знаем, что это не так). источник проблемы), и добавление опции синхронного монтирования не работает. Я не могу удалить и заново создать пользователей, так как все они являются пользователями/группами LDAP, которые используются пользователями во всей среде.
A. Darwin avatar
флаг my
@rst-2cv как насчет lsof? Файл, который вы пытаетесь удалить, заблокирован чем-то другим?
rst-2cv avatar
флаг pr
Мой плохой, я пропустил это. (К сожалению нет.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.