Hem configurat un recurs compartit en mode Només Lectura (RO) per protegir la integritat de documents oficials i manuals, evitant qualsevol modificació externa. Mitjançant la verificació del root_squash, hem demostrat que ni tan sols l'usuari administrador del client pot saltar-se aquesta restricció, garantint així un entorn de distribució de programari segur i immutable.
Per això, a continuació veuras com hem creat una carpeta publica al servidor NFS on la resta de servidors només tenen permisos de lectura.
Nota: Tota aquesta configuració que veuràs a continuació ha sigut ideada gràcies al GEM del repte, seguint les instruccions estrictes de la rúbrica.
Preparació del Servidor (On estan les dades)
Creem una carpeta, aquesta será la compartida amb la resta de servidors
sudo mkdir -p /srv/nfs/compartida/lectura
I donem permisos, imprescindible perque, com diu a la rubrica, ningú ha de ser propetari d’aquesta carpeta.
sudo chown nobody:nogroup srv/nfs/compartida/lectura
sudo chmod 755 srv/nfs/compartida/lectura
Com que els usuaris de cada màquina poden tenir IDs diferents, assignem la carpeta a nobody per evitar bloquejos inicials.
Configuració de l’exportació (El fitxer /etc/exports)
Aquest és el punt clau de la rúbrica. Hem d’editar el fitxer on diem què compartim i a qui.
- Obrim el fitxer (vim /etc/exports)
- Afegim aquesta última línia per permetre que les IPs en aquest subrang (servidors) puguin accedir.
/srv/nfs/compartida/lectura 192.168.0.0/24(ro,sync,root_squash,no_subtree_check)
ro: Permís de lectura (Read).
sync: Les dades es guarden immediatament (més segur).
no_subtree_check: Millora la fiabilitat quan es canvien noms de fitxers.
I apliquem els canvis:
sudo exportfs -ra
sudo systemctl restart nfs-kernel-server
Configuració del Client (On volem veure la carpeta)
Ara anirem al servidor on muntarem aquesta carpeta compartida, el servidor en aquest cas farà de client per aquest servei. Dins del servidor, creem la carpeta on la muntarem.
sudo mkdir -p /mnt/compartida_lectura
Ara, editem l’arxiu /etc/fstab per muntar la carpeta
sudo vim /etc/fstab
I afegim aquesta linea al final
{IP_DEL_SERVIDOR}:/srv/nfs/compartida/lectura /mnt/unitat_compartida nfs defaults,_netdev 0 0
Amb tot aixó, ja tindriem una carpeta configurada per la resta de servidores amb permisos només de lectura, com pot veure, no podem crear arxius nous. (755)
