Das von Sun Microsystems entwickelte Network File System (RFC 1813) - kurz NFS - ist trotz seiner zahlreichen Mängel immernoch der Defacto-Standard für verteilte Netzwerkdateisysteme innerhalb der UNIX-Welt. Die größten Schwächen, wie so oft “historisch gewachsen”, offenbart NFS in moderneren Umgebungen dynamischer oder nicht ausschliesslich zentral administrierter Netze: der am weitesten verbreiteten Version 3 fehlen essentielle Eigenschaften wie die Fähigkeit zur eindeutigen Benutzeridentifikation oder die Möglichkeit, den Datenverkehr durch Verschlüsselung zu schützen.

Ende der 80er Jahre nahm sich Sun durch Einführung eines Secure RPC getauften Systems der Authentifizierungsproblematik an, bot damit aber immernoch keine Verschlüsselung auf NFS-Protokoll-Basis. Secure RPC selbst fand relativ wenig Verbreitung, so dass gerade in heterogenen UNIX-Netzen inkompatible Implementierungen einem Einsatz auf breiter Front im Wege standen. Die aktuelle Version 4 (RFC 3530) des Netzwerkdateiprotokolls bringt nun neben zahlreichen anderen Verbesserungen im Rahmen ihrer Spezifikation eine Verschlüsselung der übertragenen Daten sowie die Möglichkeit zur Benutzerauthentifizierung via Kerberos mit.

Dank Sharity existiert eine gangbare Alternative zu NFS, die eine Kommunikation zahlreicher - auch älterer - UNIX-Dialekte über das SMB- und CIFS-Protokoll erlaubt und somit Verschlüsselungs- und Authentifizierungsmechanismen bietet. In manchen Fällen aber dürfte das problematische Handling vieler Implementierungen mit Dateien von über 2GB Größe sowie das kommerzielle Lizensierungsmodell abschreckend wirken - für Studierende allerdings gibt es limitierte, kostenfreie Lizenzen.

Wer also aufgrund der genannten Einschränkungen Sharitys sowie eines ans Herz gewachsenen Sammelsuriums museumsreifer UNIX-Workstations oder des Einsatzes der tatsächlich stabil zu nennenden Linux-Kernelserie 2.4 wegen auf NFS 3 angewiesen ist, muss sich mehr oder weniger zwangsläufig mit den Mängeln der alten Implementierung auseinandersetzen. Ohne den Einsatz von Secure RPC geschieht die “Authentifizierung” in diesem Fall ausschließlich über die IP-Adresse des Clients, als Nebeneffekt des NFS-eigenen “Sicherheitsmodells” hat der Administrator eines lokalen Clients Zugriff auf alle für seinen Rechner freigegebenen Shares, unabhängig von deren Zugriffsrechten. You get the point.

Eine straff konfigurierte Firewall ist also das Mindeste, was man einem solchen Setup an Gutem tun kann. Leider zeigt sich NFS in Version 3 gerade auch in dieser Disziplin durch eine zufällige Vergabe von wichtigen Server-Ports gewohnt zickig, was sich aber beim Einsatz einer auf Linux basierenden Implementierung mit ein paar Handgriffen leicht umschiffen läßt:

Mehr »

Das Linux-Magazin scheitert in seiner diesjährigen August-Ausgabe auf Seite 16 in Sachen Genealogie auf politisch fast schon brisante Art und Weise. Im Artikel “Gentoo-Gründer wechselt zu Microsoft” wird das ehemalige Ziehkind von Daniel Robbins eindeutig den falschen Eltern zugeordnet:

Natürlich sind die Fürsprecher der beiden grossen Distributionen in den meisten Sachfragen derart auf einer Linie, dass solche Verwechslungen nahe liegen. ;-)