Crypto File System - Sesam schließe dich!
Es besteht oft der Wunsch, besonders sensible Daten stärker zu schützen als mit den Datei-Rechten von Linux bzw. dem Login-Verfahren des Computers. Das Verschlüsseln eines Verzeichnisses stellt eine solche Lösung dar.
rpm -ihv /mnt/cdrom/RedHat/RPMS/nfs
Jetzt lassen wir uns den Pfad vom System erweitern, indem wir einmal, bei Eindeutigkeit der Pfadauflösung, oder zweimal, bei Mehrdeutigkeit der Pfadauflösung, die TAB-Taste drücken. Mit Enter aktivieren wir nun den Installationbefehl (Fall 1) oder erweitern den Pfad bis zur Eindeutigkeit und drücken die TAB- und dann die Entertaste.
Ein Suchergebnis bekommen wir auch durch die Eingabe von:
ls -l /mnt/cdrom/RedHat/RPMS/ | grep nfs
Die CD wird durch umount /mnt/cdrom wieder abgehängt.
Die CD-Schublade kann mit eject /mnt/cdrom geöffnet und mit eject -t /mnt/cdrom wieder geschlossen werden. Der Pfad kann weggelassen werden, wenn es das einzige oder erste CD-Laufwerk ist.
Mit der Installation von nfs wird ein Start-/Stop-Skript für nfs-Daemonen (nfsd) bereitgestellt und in der Datei /etc/rc.d/init.d abgelegt. Hier befinden sich die Start-/Stop-Skripte sämtlicher installierter Dienste. Damit diese Dienste beim Booten gestartet und beim Herunterfahren beendet werden, sind sie in den entsprechenden Runlevel-Verzeichnissen verlinkt.
Wir kontrollieren die Existenz des Skriptes und erfragen den Namen:
ls -l /etc/rc.d/init.d |grep nfs
Als Ergebnis erhalten wir nfs, aber auch andere Bezeichnungen wie rpc-nfs oder kernelnfs sind möglich.
| Infobox 4 Runlevel |
Runlevel rcn.d In einem Runlevel werden die Dienste aktiviert, die mit dem Hochfahren des Computers gestartet werden. Dies wird genutzt, um den Rechner variabel und ohne Konfigurations-Änderung starten zu können. Will ich z.B den Computer nur im Konsolen-Modus betreiben, starte ich im Runlevel 3, möchte ich dagegen den Grafik-Modus, so boote ich mit Runlevel 5. Dies ist die Voreinstellung bei Red Hat und kann sich zwischen den Distributionen unterscheiden. Standardmäßig gibt es bei Linux Runlevel 0 (System-Halt) bis 6 (System-Reboot). Wir können das einfach testen mit einem Aufruf eines anderen Levels. Das bedingt aber root-Rechte: init 3 Wir verlassen jetzt den Grafik-Modus und kehren zu diesem zurück mit init 5 In der Datei /etc/inittab wird u.a. festgelegt, welcher Runlevel beim Systemstart gültig ist. |
| Infobox 5 Link |
Einen Link kann man sich als eine Art Abbild auf eine andere Datei oder auch auf ein anderes Verzeichnis vorstellen. Wenn ich einen Link auf ein Programm lege, so reicht es dann aus, den Link anzusprechen, um das Programm zu starten. Ein Beispiel zum Nachvollziehen: Vom Browser Mozilla legen wir einen Link namens www an. Dieses "www" darf es natürlich vorher nicht geben. ln -s /usr/bin/mozilla /usr/bin/www Jetzt kann ich Mozilla starten mit dem Aufruf von Ebenso können Dateien verlinkt werden. Aus Kompatibilitätsgründen wird vom Verzeichnis /etc/rc.d/init.d ein Link nach /etc/init.d gesetzt. Ich kann also alle Programme in /etc/rc.d/init.d auch in /etc/init.d aufrufen. |
Jetzt müssen wir kontrollieren, ob bei der Installation des NFS auch das Start-/Stopp-Skript in die Runlevel verlinkt wurde. Wir wählen dazu den Runlevel 5 und schauen uns mal den inneren Aufbau des Verzeichnisses an:
ls -l /etc/rc.d/rc5.d
Als Ergebnis sehen wir alle Dienstaufrufe für dieses Level. Es folgt ein Beispiel zur Erklärung:
S20random -> ../init.d/random
Beim Start im Runlevel 5 wird diese Datei irgenwann in alphabetischer und numerischer Reihenfolge abgearbeitet. Das S steht für Start, das K für Beenden (kill). Die Größe der Zahlen ist dann analog der Startreihenfolge. Mit dem Pfeil (->) zeigt der Link auf seine Ursprungsdatei. Zum gezielteren Erkennen geben wir es besser so ein:
ls -l /etc/rc.5/ | grep nfs
Wenn jetzt kein Ergebnis nach der Syntax S[Zahl]Name -> ../init.d/nfs erscheint, sondern nichts oder nur ein nfs-Kill-Kommando, so hat der Distributor dieses vergessen und wir müssen es korrigieren:
ln -s /etc/rc.d/init.d/nfs /etc/rc.d/rc3.d/S60nfs ln -s /etc/rc.d/init.d/nfs /etc/rc.d/rc5.d/S60nfs
Genauso verfahren wir mit dem Kill-Anweisungen. In jedem von uns benutzten Runlevel sollte diese stehen: In Runlevel 0 und 6 für den ordentlichen Systemabschluss und in Runlevel 3 und 5, damit bei Levelwechsel ein doppelter Startversuch vermieden wird.
In meinem System (RedHat 7.3) war der Kill-Link vorhanden, der Start-Link fehlte aber. Also wo der Kill-Link fehlt, noch folgende Tastenakrobatik:
ln -s /etc/rc.d/init.d/nfs /etc/rc.d/rc0.d/K20nfs ln -s /etc/rc.d/init.d/nfs /etc/rc.d/rc3.d/K20nfs ln -s /etc/rc.d/init.d/nfs /etc/rc.d/rc5.d/K20nfs ln -s /etc/rc.d/init.d/nfs /etc/rc.d/rc6.d/K20nfs
NFS-Test
Nachdem wir NFS einsatzbereit gemacht haben, testen wir es und legen uns in unserem Heimatverzeichnis ein neues Verzeichnis an. Dazu öffnen wir eine neue Konsole und befinden uns somit in unserem Homeverzeichnis. Oder wir erreichen das Gleiche durch Verlassen der root-Shell mit exit. Durch cd gelangen wir in das Heimatverzeichnis.
Die Informationen, unter welchen Namen wir angemeldet sind und in welchen Verzeichnis wir uns befinden, bekommen wir durch id und pwd.
mkdir crypt
Nun exportieren wir zu diesem Zweck /tmp in unser neues Verzeichnis. Dazu bearbeiten wir zuerst die NFS-Konfigurationdatei /etc/exports in einem Editor unserer Wahl. Meine Empfehlung nennt sich nedit.
/etc/exports:
/tmp localhost(rw)
Nun starten wir den NFS-sServer durch
/etc/init.d/nfs start
Sollte er bereits laufen, müssen wir die Änderung der Datei /etc/exports durch ein /etc/init.d/nfs reload registrieren.
Jetzt setzen wir den NFS-Mountbefehl ab:
mount -t nfs localhost:/tmp /home/joern/crypt
Im Erfolgsfall ist nun unter /home/joern/crypt /tmp beschreib- und lesbar, und ein Aufruf vom mount bringt folgendendes:
mount ... localhost:/tmp on /home/joern/crypt type nfs (rw,addr=127.0.0.1) ...
Zum Abmouten tippen wir in die Konsole: umount /home/joern/crypt
Häufige Fehler beim NFS
Sollte hier etwas schiefgehen, sind oft auch Schreibfehler oder falsche Pfadangaben die Ursache:
mount: localhost:/tmp failed, reason given by server: Keine Berechtigung
- Das zu exportierende Verzeichnis des Mount-Befehles stimmt nicht mit dem der Datei /etc/exports überein oder
- eine Änderung in der Datei /etc/exports wurde nicht mit einem
/etc/init.d/nfs reloadbekanntgegeben.
mount: RPC: Programm nicht registriert
- NFS ist nicht gestartet.
Kontrolle: ps -ef | grep nfs oder /etc/init.d/nfs status.
