nfs共享目录权限问题解决方案


问题:

普通用户使用共享目录时的权限问题

之前做nfs共享目录都是给root用户使用,并且设置了no_root_squash,一直没思考过权限问题

信用卡压测时给anytxnv2用户使用nfs共享目录时发现 不能在目录里创建或者删除用户

解决办法两种

方法1

在服务端查看挂载文件夹的主和组

再查看uid和gid

去客户端执行命令,把客户端需要访问这个目录的用户 组id改成502

groupmod -g 502 anytxnv2

再用此用户访问已经没有问题

方法2

在服务端查看挂载文件夹的主和组

再查看uid和gid

修改配置文件

vim /etc/exports

/home/anytxnv2/batch/cardopen/ *(rw,sync,all_squash,anongid=502,anonuid=502)

服务器端执行命令更新配置文件

exportfs -rv

注意映射id的方法只有在all_squash配置下生效,测试时我设置的root_squash,一直不生效困扰了我很久

总结

两种方法都可以解决普通用户使用nfs共享目录带来的权限问题

方法1相对麻烦,但是更安全,可以实现指定某个普通用户访问共享目录

方法2操作最简单 但是有安全隐患 因为其他的普通用户如果可以进/home/anytxnv2/batch/cardopen文件夹 也可以删除添加文件

但是我这里共享目录在anytxnv2的家目录下 其他用户无法进来,所以没有这种隐患

原理简述

方法1

nfs会把客户端访问共享目录的用户做一个匹配映射,匹配的原则就是根据uid和gid,加入访问用户uid是1000,而恰好服务器端也有uid1000的用户,则会被映射成服务器端uid1000的用户权限,上文中我服务器端共享目录的权限是775 主用户是anytxnv2 用户uid和gid是502,所以我把所有客户端服务器需要访问共享目录的用户gid改成502后,再访问共享目录,会匹配到服务器端gid为502的用户组,既anytxnv2组,而此组对于共享目录有读写执行权限

方法2

NFS的用户映射方式还提供了另外的选项:all_squash,即所有的客户端请求到了服务端都会被当作匿名用户,如果直接修改参数,显然也不能解决问题,因为共享目录的权限是740,匿名用户是没有读写权限的。幸运的是,NFS有以下两个配置参数可以使用:

anonuid=:指定匿名访问用户的本地用户UID,默认为nfsnobody(65534);
anongid=:指定匿名访问用户的本地用户组GID,默认为nfsnobody(65534);

因此最终配置如下,直接在服务器端指定所有访问进来的客户端用户UID和GID都给映射成502,既被映射为共享目录的主用户anytxnv2

vim /etc/exports

/home/anytxnv2/batch/cardopen/ *(rw,sync,all_squash,anongid=502,anonuid=502)