[Comm] NAS на базе АЛС(Д)

[Comm] NAS на базе АЛС(Д)

[Vladimir Karpinsky]

Здравствуйте!

Есть не очень старый компьютер, на базе которого хочется сделать NAS.
Собственно, что надо:

1. Доступ к ресурсу или нескольким ресурсам по NFS.

2. То же самоа по SMB.

3. То же самое по FTP.

4. Разграничение прав доступа по принципу: пара-тройка "нормальных
Линукс-пользователей" с соответствующими правами, а остальные ---
неавторизованные пользователи с правами только на чтение.

В принципе, с пп. 1, 2 и 4 я особых проблем пока не вижу, а, вот, с п. 3
даже в условиях только анонимного FTP, без записи, мне многое не понятно:
vsftp обычно работает в чруте, ресурс сидит в /var/ftp... Как быть в случае
ресурса типа /export/data?

Какую платформу лучше на это поднимать, Сервер или Бранч 4.1?

И, вообще, просьба откликнуться людей имеющих соответствующий опыт, может я 
каких граблей ещё просто не вижу. Буду также очень благодарен за ссылки на 
соответствующие документы.

-- 
	С уважением,
		Владимир.

Re: [Comm] NAS на базе АЛС(Д)

[Eugene Prokopiev]

>  Есть не очень старый компьютер, на базе которого хочется сделать NAS.
>  Собственно, что надо:
>
>  1. Доступ к ресурсу или нескольким ресурсам по NFS.
>
>  2. То же самоа по SMB.
>
>  3. То же самое по FTP.
>
>  4. Разграничение прав доступа по принципу: пара-тройка "нормальных
>  Линукс-пользователей" с соответствующими правами, а остальные ---
>  неавторизованные пользователи с правами только на чтение.
>
>  В принципе, с пп. 1, 2 и 4 я особых проблем пока не вижу, а, вот, с п. 3
>  даже в условиях только анонимного FTP, без записи, мне многое не понятно:
>  vsftp обычно работает в чруте, ресурс сидит в /var/ftp... Как быть в случае
>  ресурса типа /export/data?

mount -o bind

>  Какую платформу лучше на это поднимать, Сервер или Бранч 4.1?

branch/4.0 или branch/5.0 - второе даже лучше, ибо ovz для вашей
задачи нектуален - а это едва ли не единственное, чем 4.0 для новых
инсталляций лучше

в качестве отправной точки посмотрите также на
http://admdev.blogspot.com/2008/08/alt-linux-40-server-lite.html

>  И, вообще, просьба откликнуться людей имеющих соответствующий опыт, может я
> каких граблей ещё просто не вижу. Буду также очень благодарен за ссылки на
> соответствующие документы.

c такими вопросами лучше в sysadmins@

см. также http://www.altlinux.org/ALT_Linux_4.1_Office_Server - но там
нужно идти в соответствующую рассылку и участвовать в тестировании

-- 
С уважением,
Прокопьев Евгений

Re: [Comm] NAS на базе АЛС(Д)

[Алексей Синицын]

5 января 2009 г. 10:20 пользователь Vladimir Karpinsky <...> написал:

> Есть не очень старый компьютер, на базе которого хочется сделать NAS.

 Недавно закончил примерно такое-же устройство, хотя, пожалуй,
несколько экзотически. Вот описание аппаратной части:

 http://a.sinitsin.googlepages.com/pcnas-v2.0

> Собственно, что надо:
>
> 1. Доступ к ресурсу или нескольким ресурсам по NFS.
>

 Здесь всё просто, пока мы раздаём файловую систему только на чтение и
всем одинаково. При требовании разграничения прав-же возникают нюансы.

 При подключении nfs мы имеем доступ к файлам в соотвенствии с правами
для локальных uid'ов. То есть грубо говоря раздав в конторе nfs и
разделив права я рискую что кто-то принесёт домашний лаптоп
подмонтирует nfs и от своего локального рута на лаптопе будет иметь
доступ ко всему дереву. В нашем-же, простом домашнем случае, мы просто
столкнёмся с путаницей с правами на файлы.

 Слышал я что с nfs версии 4 появился uid mapping и эта проблема
решается авторизацией, но на практике не смотрел.  У самого меня
хранилище раздаётся только на чтение и возможно сделаю доступный tmp/
для записи для всех. Вопрос доступа в таком случае просто не стоит.

> 2. То же самоа по SMB.
>

 Думаю с этим всё понятно и комментировать нет нужды: /etc/samba/smb.conf

> 3. То же самое по FTP.
>

 Раздавать всё как есть во внешний мир для меня было неприемлемо,
поэтому встал вопрос авторизации. Заводить так-же массу реальных
пользователей в системе ради ftp показалось тоже неправильным. Поэтому
встал вопрос о виртуальных пользователях.

 С vsftpd я эту задачу не осилил, вроде всё сделал по описанию, но оно
не заработало. Но в sysadmins@ мне посоветовали pure-ftpd и
действительно с ним по сопутствующей документации всё произошло очень
легко и быстро. В частности, здесь каждому виртуальному пользователю
ftp задаётся своя точка входа и при авторизации от нужного
пользователя мы видим нужную часть файловой системы. В сети отзывы о
безопасности этого ftp сервера вроде неплохие.

 Впрочем, можно и использовать и общесистемные учётные записи, у меня
это действовало (во время настройки) с pure-ftpd и возможно это
заработает и с vsftpd. Сответственно, точка входа должна получиться,
если не ошибаюсь, домашним каталогом.

> 4. Разграничение прав доступа по принципу: пара-тройка "нормальных
> Линукс-пользователей" с соответствующими правами, а остальные ---
> неавторизованные пользователи с правами только на чтение.
>
> В принципе, с пп. 1, 2 и 4 я особых проблем пока не вижу, а, вот, с п. 3
> даже в условиях только анонимного FTP, без записи, мне многое не понятно:
> vsftp обычно работает в чруте, ресурс сидит в /var/ftp... Как быть в случае
> ресурса типа /export/data?
>

 Про ftp и разные точки входа - выше.

 А в качестве бонуса, например, можно подключить колонки и применить
mpd, очень полезно. Возможно ещё что-нибудь, например внутренний апач
для каких нибудь мелочей (или - не мелочей, ну скажем sql и адресная
книга общая...).

> Какую платформу лучше на это поднимать, Сервер или Бранч 4.1?
>

 Нашёл у себя в /root файл mbox, где письмо от 23 Apr 2002, в котором
Team поздравляет меня с установкой ALT Linux Master 2.2. Система эта
перезжала с железа на железо, обновляясь и текущее состояние - бранч
4.1.

 Думаю что это не имеет какого-то существенного значения, что именно
ставить. Базовая система и nfs с самбой и с ftp одинаковы как в одном
бранче - текущем десктопном, так и в другом - каком либо серверном.

Re: [Comm] NAS на базе АЛС(Д)

[Vladimir Karpinsky]

Здравствуйте!

Алексей Синицын пишет:
>  Недавно закончил примерно такое-же устройство, хотя, пожалуй,
> несколько экзотически. Вот описание аппаратной части:

Особенно внешний вид поразил...

>> Собственно, что надо:
>>
>> 1. Доступ к ресурсу или нескольким ресурсам по NFS.
>>
> 
>  Здесь всё просто, пока мы раздаём файловую систему только на чтение и
> всем одинаково. При требовании разграничения прав-же возникают нюансы.
> 
>  При подключении nfs мы имеем доступ к файлам в соотвенствии с правами
> для локальных uid'ов. То есть грубо говоря раздав в конторе nfs и
> разделив права я рискую что кто-то принесёт домашний лаптоп
> подмонтирует nfs и от своего локального рута на лаптопе будет иметь
> доступ ко всему дереву. В нашем-же, простом домашнем случае, мы просто
> столкнёмся с путаницей с правами на файлы.

У меня не домашний вариант: имеется набор данных, с которым работают 
пользователи, вот, собственно, к этому архиву надо дать доступ народу. 
Несколько упрощений: данные отдаются только в локальную сеть, и доступ 
только для чтения всем, кроме меня и ещё пары человек, которые могут и 
умеет этим архивом управлять (в основном добавлять), это будут, конечно, 
реальные, а не виртуальные пользователи.

>  Про ftp и разные точки входа - выше.

Спасибо, очень полезная информация.

>  Нашёл у себя в /root файл mbox, где письмо от 23 Apr 2002, в котором
> Team поздравляет меня с установкой ALT Linux Master 2.2. 

2.2 у меня ещё работает. Там по ряду причин непросто провести обновление, а 
поскольку работает, то я и не форсирую...

> Система эта перезжала с железа на железо, обновляясь и текущее состояние
> - бранч 4.1.

Сейчас какая-то карусель с версиями и платформами, чего раньше не было, 
поэтому спрашиваю, м.б. есть какая-то специфика. Как я понял, мне лучше 
ставить ОфисСервер: не нужны контейнеры и т.п. из обычного сервера, а также 
X и много всего ненужного из Десктопа, м.б. обновить потом до бранча 4.1...

-- 
	С уважением,
		Владимир.

Re: [Comm] NAS на базе АЛС(Д)

[Алексей Синицын]

7 января 2009 г. 20:35 пользователь Vladimir Karpinsky <...> написал:

>> несколько экзотически. Вот описание аппаратной части:
>
> Особенно внешний вид поразил...
>

 Спасибо, я старался :) . Немного остатков старого стола, немного
желания сделать бесшумно, немного глупости...  :) Хотя работает
практически бесшумно и ночью стоит у изголовья и не мешает.

 В рабоче-офисном-же варианте требований бесшумности нет и изыски,
стало-быть, не нужны.

>>  При подключении nfs мы имеем доступ к файлам в соотвенствии с правами
>> для локальных uid'ов. То есть грубо говоря раздав в конторе nfs и
>> разделив права я рискую что кто-то принесёт домашний лаптоп
>> подмонтирует nfs и от своего локального рута на лаптопе будет иметь
>> доступ ко всему дереву. В нашем-же, простом домашнем случае, мы просто
>> столкнёмся с путаницей с правами на файлы.
>
> У меня не домашний вариант: имеется набор данных, с которым работают
> пользователи, вот, собственно, к этому архиву надо дать доступ народу.
> Несколько упрощений: данные отдаются только в локальную сеть, и доступ
> только для чтения всем, кроме меня и ещё пары человек, которые могут и умеет
> этим архивом управлять (в основном добавлять), это будут, конечно, реальные,
> а не виртуальные пользователи.
>

 Здесь может играть роль наличие или отсутствие у пользователей рута
(хотя и закладываться на это не стоит, всегда можно принести какой
нибудь нетбук с рутом в кармане). Если всем на чтение - то просто
раздавать по nfs и smb ro и голова не болит. Если обслуживание -
разовые действия, то хоть по ssh с помощью mc, но если достаточно
регулярно - то лучше как-нибудь изящнее, конечно. Можно почитать про
nfs v4, возможно поможет, а может быть и, скажем, nfs без авторизации
ro а у самбы есть заход с авторизацией и оттуда и рулить. Хотя это уже
зоопарк какой-то получается :)

 Про реальных и виртуальных пользователей - это собственно к ftp
отношение имеет, думается мне что в любом случае есть смысл отделить
реальных от ftp'шных, хотя может это и неудобства внесёт а вопросы
безопасности этого могут и не требовать. Это лучше у спецов по
безопасности спрашивать.

> Сейчас какая-то карусель с версиями и платформами, чего раньше не было,
> поэтому спрашиваю, м.б. есть какая-то специфика. Как я понял, мне лучше
> ставить ОфисСервер: не нужны контейнеры и т.п. из обычного сервера, а также
> X и много всего ненужного из Десктопа, м.б. обновить потом до бранча 4.1...
>

 Думаю имеет смысл брать любой образ отсюда:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/4.1/Desktop/current/iso/
, или от любой другой избранной ветки, и ставить; а затем доставлять
из репозитария нужное, чего не оказалось на диске.