NFS安装配置及常见问题、etcexports配置⽂件、showmount
命令
1,服务器端软件:安装nfs-utils和portmap(rpcbind)
nfs-utils:提供rpc.nfsd 及 untd这两个NFS DAEMONS的套件
portmap: NFS其实可以被看作是⼀个RPC SERVER PROGRAM,⽽要启动⼀个RPC SERVER PROGRAM,都要做好PORT的对应⼯作,⽽且这样的任务就是由PORTMAP 来完成的。通俗的说PortMap就是⽤来做PORT的mapping的。
NFS需要启动的DAEMONS:参考
女人智慧
pc.nfsd:主要复杂登陆权限检测等必须
portmap:处理RPC程序客户端和服务器端的端⼝对应必须
statd:为nfs锁定服务提供crash恢复功能
rquotad:处理当⽤户通过nfsmount到远程服务器时的配额
守护进程启动顺序:rpc.portmap, untd, rpc.nfsd, rpc.statd, rpc.lockd (新版本会⾃动跟着nfsd启动起来), rpc.rquotad
NF服务器端命令:
yum install nfs-utils portmap
chkconfig rpcbind on #chkconfig:更新和查询各运⾏级别的系统服务
chkconfig nfs on
rvice rpcbind start
rvice nfs start
姜子牙的坐骑2,服务器端配置⽂件/etc/exports:指定要共享的⽬录及权限man exports
Html代码
1. #:允许ip地址范围在19
2.168.0.*的计算机以读写的权限来访问/home/work ⽬录。
2. /home/work 192.168.0.*(rw,sync,root_squash)
3. /home 192.168.1.105 (rw,sync)
4. /public * (rw,sync)
5.
6. 配置⽂件每⾏分为两段:第⼀段为共享的⽬录,使⽤绝对路径,第⼆段为客户端地址及权限。
7. 地址可以使⽤完整IP或⽹段,例如10.0.0.8或10.0.0.0/24,10.0.0.0/255.255.255.0当然也可以地址可以使⽤主机名,DNS解析的和本
地/etc/hosts解析的都⾏,⽀持通配符,例如:*.
8.
9. 权限有:
10. rw:read-write,可读写;注意,仅仅这⾥设置成读写客户端还是不能正常写⼊,还要正确地设置共享⽬录的权限,参考问题7
11. ro:read-only,只读;
12. sync:⽂件同时写⼊硬盘和内存;
13. async:⽂件暂存于内存,⽽不是直接写⼊内存;
14. no_root_squash:NFS客户端连接服务端时如果使⽤的是root的话,那么对服务端分享的⽬录来说,也拥有root权限。显然开启这项是
不安全的。
15. root_squash:NFS客户端连接服务端时如果使⽤的是root的话,那么对服务端分享的⽬录来说,拥有匿名⽤户权限,通常他将使⽤
nobody或nfsnobody⾝份;
16. all_squash:不论NFS客户端连接服务端时使⽤什么⽤户,对服务端分享的⽬录来说都是拥有匿名⽤户权限;
17. anonuid:匿名⽤户的UID值,通常是nobody或nfsnobody,可以在此处⾃⾏设定;
18. anongid:匿名⽤户的GID值。
NFS客户端⽤户映射:客户端登陆⽤户为root或者其他⽤户,然后根据服务器端nfs rver配置,相应客户端连接映射到nfs服务器端的⽤户为root或者指定⽤户(通过anonuid或者anongid来设定)、nfsnobody等。最后这个映射⽤户和共享⽬录的权限共同影响该客户端连接是否有读写权限。
⼿动设定客户端、服务器端⽤户映射,参数:map_static=/etc/nfs.map
/etc/nfs.map⽂件映射内容如下:
# remote local
gid 500 1000
uid 500 2003
参考:中关于nfs客户连接⽤户⾝份的描述,没有验证过下述的描述:客户端连接时候,对普通⽤户的检查,NO.1如果明确设定了普通⽤户被压缩的⾝份,那么此时客户端⽤户的⾝份转换为指定⽤户,N
O.2如果NFS rver上⾯有同名⽤户,那么此时客户端登录账户的⾝份转换为NFS rver上⾯的同名⽤户,NO.3如果没有明确指定,也没有同名⽤户,那么此时⽤户⾝份被压缩成nfsnobody
皮部
客户端连接的时候,对root的检查,NO.1如果设置no_root_squash,那么此时root⽤户的⾝份被压缩为NFS rver上⾯的root,NO.2如果设置了all_squash、anonuid、anongid,此时root ⾝份被压缩为指定⽤户,NO.3如果没有明确指定,此时root⽤户被压缩为
nfsnobody,NO.4如果同时指定no_root_squash与all_squash ⽤户将被压缩为 nfsnobody,如果设置了anonuid、anongid将被压缩到所指定的⽤户与组
3,防⽕墙设置修改
默认情况下,CentOS6服务器版安装完成后,防⽕墙iptables配置中只放开了22端⼝。在nfs配置⽂件/etc/sysconfig/nfs中指定nfs服务相关端⼝,并修改防⽕墙放开相应端⼝Java代码
1. #untd should listen on.
2. #MOUNTD_PORT=892
3.
4. #Port rpc.statd should listen on.
5. #STATD_PORT=662
6.
7. #/usr/sbin/rpc.rquotad Port rquotad should listen on.
8. #RQUOTAD_PORT=875
9.
10. #TCP port rpc.lockd should listen on.
11. #LOCKD_TCPPORT=32803
12.
13. #UDP port rpc.lockd should listen on.
14. #LOCKD_UDPPORT=32769
平移ppt
修改iptables配置⽂件/etc/sysconfig/iptables,放开111(portmap服务端
⼝),2049(nfs服务端⼝)
鹩哥寿命
4,/etc/hosts.allow配置修改
/etc/hosts.allow,/etc/hosts.deny 描述哪些主机允许使⽤本地的INET服务。
默认这⾥好像可以不需要修改,不过最好设置成只允许需要的客户端机器连接,然后其他机器的连接都deny
#服务进程名:主机列表:当规则匹配时可选的命令操作
rver_name:hosts-list[:command]
在/etc/hosts.allow中添加允许客户端访问的规则
ALL:127.0.0.1 #允许本机访问本机所有服务进程
ALL:192.168.0.135 #允许192.168.0.135客户端机器访问本机所有服务进程
smbd:192.168.0.0/255.255.255.0 #允许⽹段的IP访问smbd服务
sshd:192.168.100.0/255.255.255.0 #允许192.168.100.⽹段的IP访问服务器上的sshd 进程
海茄子sshd:60.28.160.244 #允许外⽹的60.28.160.244访问这个服务器上
的sshd进程
老师的眼睛会说话在/etc/hosts.deny中被禁制登陆的尝试连接信息也可以设置成记录下来并发到⽤户邮箱sshd:ALL #禁⽌所有
5,修改共享出去的⽬录权限为760,并修改⽬录所有组为nfsnobody
参考:问题7
6,客户端挂载:执⾏下⾯的指令就可以把NFS服务器(IP地址为192.168.1.45)共享出来的/home挂装到本地的/mnt/nfs/home⽬录下。
showmount -e nfs-rverip:查看nfs服务器共享出来的资源
mount -t nfs 192.168.1.45:/home /mnt/nfs/home
7,NFS性能测试:
根据命令time dd if=/dev/zero of=/mnt/home bs=16k count=16384 来设置合理的WSIZE,RSIZE值
根据nfs客户端数,在/etc/sysconfig/nfs配置⽂件中设置合适的nfs服务器端进程数RPCNFSDCOUNT,默认为8
exportfs命令:如果我们在启动了NFS之后⼜修改了/etc/exports,是不是还要重新启动nfs呢?这个时候我们就可以⽤exportfs命令来使改动⽴刻⽣效,该命令格式如下:exportfs [-aruv] -a :全部mount或者unmount /etc/exports中的内容 -r :重新mount /etc/exports中分享出来的⽬录 -u :umount ⽬录 -v :在 export 的時候,将详细的信息输出到屏幕上。
showmount命令:显⽰NFS服务器的挂载信息。
showmount -e [nfs-rver]:显⽰指定的NFS SERVER上export出来的⽬录,不指定后⾯IP时查看的是本机作为NFS Server时,对外共享的⽬录。。
rpcinfo -p命令:显⽰RPC信息 -p参数:⽤rpc协议来探测主机host上使⽤的rpcbind,并显⽰所有已注册的RPC程序。
nfsstat命令:查看NFS的运⾏状态,对于调整NFS的运⾏有很⼤帮助
过程中出现的问题解决:
1,通过yum或者rpm安装完portmap后,发现执⾏命令rvice portmap start时报如下错误:portmap: unrecognized rvice。
CentOS6(Linux Kernel 2.6.32)中,portmap已经被rpcbind代替了,仔细查看安装信息就会发现,执⾏命令yum install portmap时安装的就是rpcbind。安装完成后也可以通过命令:yum whatprovides portmap来查看详细信息。
2,客户端挂载时,报错误mount clntudp_create: RPC: Port mapper failure - RPC: Unable to receive。
1,通过命令rpcinfo -p来查看portmap服务时候正常启动以及相应的端⼝(默认111)
2,检查/etc/sysconfig/iptables防⽕墙设置,允许tcp,udp的111端⼝访问,然后rvice iptables restart
3,检查/etc/hosts.deny,/etc/hosts.allow看客户端连接是否被阻⽌了
3,客户端执⾏命令showmount -e nfs-rver时,报错误:mount clntudp_create: RPC: Program not registered。
nfs、rpcbind服务没有启动,使⽤chkconfig把nfs、rpcbind加到系统服务中并⽤rvice来启动
或者在/etc/hosts.allow中添加允许客户端访问的规则 ALL:192.168.0.135
4,客户端执⾏命令showmount -e nfs-rver时,报错误:rpc mount export: RPC: Unable to receive; errno = No route to host
配置⽂件:/etc/sysconfig/nfs
找到nfs服务相关端⼝设置的地⽅,并移除注释后,在iptables防⽕墙设置中指定允许相应端⼝的Udp,tcp流通过。
#MOUNTD_PORT=892
#STATD_PORT=662
#LOCKD_TCPPORT=32803
使你为我迷醉#LOCKD_UDPPORT=32769
iptables -A INPUT -p TCP --dport 662 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP --dport 661 -m state --state NEW -j ACCEPT
5, showmount -e nfs-rver成功,正式挂载时报错:mount: mount to NFS rver
'192.168.1.5' failed: System Error: No route to host.这是由于nfs服务的默认端⼝2049被防⽕墙阻塞了,和上⾯类似修改iptables允许2049端⼝通过
6, showmount -e nfs-rver成功,正式挂载时报错:mount: mount to NFS rver
'192.168.1.5' failed: timed out (retrying).
编辑/etc/sysconfig/iptables时,相关端⼝的tcp端⼝允许通过,⽽udp不允许。其他可能的原因参考:
Disable name lookup requests from NFS rver to a DNS rver.
or NFS version ud by the NFS client is other than version 3.
7,exports配置⽂件中⽬录权限属性设置为rw(默认为root_squash),但是在客户端mount⽬录执⾏touch命令时报错误:touch: cannot touch `a': Permission denied。解决:
服务器端共享⽬录权限查看ll -d /home
修改服务器端共享⽬录权限chown 760 /home(⽂件所有者root有全权限、⽂件所有组⽤户有读写权限
、其他⽤户⽆权限,然后把⽬录的组设置为nfsnobody)
修改服务器端共享⽬录权限组拥有者为nfsnobody(cat /etc/passwd | grep nob)
chgrp nfsnobody /home
成功在客户端创建新的⽂件!
