13 ответов в этой теме

[milton]

Добрый день!

Имеется ноутбук с Ubuntu 14.04 amd64 и другой компьютер с Debian 7 (armhf). Компьютер с Debian используется как домашний NAS, доступ к которому с ноутбука осуществляется через NFS (монтирование раздела NFS осуществляется при загрузке ноутбука — прописано в fstab). Вся эта связка работала без проблем уже больше года.

Намедни поставил на ноутбук Dr.Web 10.1.0 для Linux (устанавливал с репозитария). Все установилось, все работает — но NFS4 упорно не хочет монтироваться ни при загрузке, ни вообще как бы то ни было.

Команда sudo mount -a, равно как и sudo mount <точка монтирования> на ноутбуке приводит к «mount.nfs4: Operation not permitted». Как исправить?

[dbanschikov]

Добрый день!

Имеется ноутбук с Ubuntu 14.04 amd64 и другой компьютер с Debian 7 (armhf). Компьютер с Debian используется как домашний NAS, доступ к которому с ноутбука осуществляется через NFS (монтирование раздела NFS осуществляется при загрузке ноутбука — прописано в fstab). Вся эта связка работала без проблем уже больше года.

Намедни поставил на ноутбук Dr.Web 10.1.0 для Linux (устанавливал с репозитария). Все установилось, все работает — но NFS4 упорно не хочет монтироваться ни при загрузке, ни вообще как бы то ни было.

Команда sudo mount -a, равно как и sudo mount <точка монтирования> на ноутбуке приводит к «mount.nfs4: Operation not permitted». Как исправить?

 

А покажите sudo strace -f mount <точка монтирования>.

Интересует в какой момент возвращается ENOPERM.

Вывод можно порезать, оставить только значимую часть.

[milton]

А покажите sudo strace -f mount <точка монтирования>.

Интересует в какой момент возвращается ENOPERM.

Вывод можно порезать, оставить только значимую часть.

Полный вывод. Точка монтирования /media/Storage.

 sudo strace -f mount.txt   19,81К   8 Скачано раз

[dbanschikov]

 

А покажите sudo strace -f mount <точка монтирования>.

Интересует в какой момент возвращается ENOPERM.

Вывод можно порезать, оставить только значимую часть.

Полный вывод. Точка монтирования /media/Storage.

sudo strace -f mount.txt

 

 

Spider Gate включен?

А если попробовать примонтировать с выключенным Spider Gate?

[milton]

Spider Gate включен?

А если попробовать примонтировать с выключенным Spider Gate?

 

Действительно, если отключить Spider Gate, то монтируется без проблем.

Решил поэкспериментировать со Spider Gate — добавил IP nfs-сервера в белый список, все равно со включенным Spider Gate не монтируется.

Отключил, примонтировал nfs, включил Spider Gate — примонтированный раздел работает как обычно, так что проблема скорее всего именно на этапе монтирования.

[dbanschikov]

В порядке эксперимента можно попробовать указать "Root.TrustedGroup" в "root" и выполнить подключение с включенным Spider Gate.

[milton]

В порядке эксперимента можно попробовать указать "Root.TrustedGroup" в "root" и выполнить подключение с включенным Spider Gate.

Не подскажете, как это можно сделать?
P.S. У меня только стандартный Dr.Web Security Space без каких-либо других компонентов.

Сообщение было изменено milton: 29 Июнь 2015 - 20:46

[amorozov]

drweb-ctl cfset Root.TrustedGroup root

Вернуть к дефолту:

drweb-ctl cfset -r Root.TrustedGroup

[milton]

К сожалению, указание "Root.TrustedGroup" в "root" не помогло. Может еще что-нибудь посоветуете?

[dbanschikov]

К сожалению, указание "Root.TrustedGroup" в "root" не помогло. Может еще что-нибудь посоветуете?

 

Завтра посмотрю внимательней.

У вас магии(e.g. kerberos) с NFS никакой нет? Все стандартно ?

[milton]

Завтра посмотрю внимательней.
У вас магии(e.g. kerberos) с NFS никакой нет? Все стандартно ?

Да, все стандартно. Kerberos не используется.

Сообщение было изменено milton: 29 Июнь 2015 - 23:50

[dbanschikov]

Необходимо изменение настроек компонента Firewall и конфигурации iptables, из-за ограничений NFS сервера в Linux(нет чего-то похожего на nfs_portmon из Solaris).
Попробуйте, пожалуйста, выполнить следующую правку конфига iptables после старта Spider Gate на стороне NFS клиента:
 

sudo iptables -I OUTPUT -t nat -p tcp -m multiport --sports 0:1024 -j ACCEPT

После этой правки, можно попробовать примонтировать NFS шару.
Если это поможет - есть три варианта(по крайней мере в 10.1):
1. Выставить приоритеты скриптам инициализации таким образом, чтобы служба NFS монтировала удаленные шары строго до старта DrWeb.
2. Прописывать эту команду после каждого рестарта Spider Gate
3. Настроить ручной режим работы компонента Firewall и сконфигурировать iptables самостоятельно(один раз). Обратите внимание, что при остановке Spider Gate будет необходимо самостоятельно очищать правила iptables

В следующих версиях постараемся автоматизировать решение этой проблемы.

[livelace]

Действительно, всё подтвердилось. Обход проблемы:

iptables -I OUTPUT -t nat -p tcp -m multiport --sports 0:1024 -j ACCEPT

root@ubuntu1404:~# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 3 packets, 205 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 3 packets, 205 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3 packets, 144 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 0:1024
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ! owner GID match 1001 mark match ! 0x1 mark match ! 0x2 mark match ! 0x3 mark match ! 0x4 mark match ! 0x5 /* drweb-firewall:conntrack-51905 */ redir ports 51905

Chain POSTROUTING (policy ACCEPT 4 packets, 204 bytes)
 pkts bytes target     prot opt in     out     source               destination

[milton]

Необходимо изменение настроек компонента Firewall и конфигурации iptables, из-за ограничений NFS сервера в Linux(нет чего-то похожего на nfs_portmon из Solaris).
Попробуйте, пожалуйста, выполнить следующую правку конфига iptables после старта Spider Gate на стороне NFS клиента:
&amp;nbsp;

sudo iptables -I OUTPUT -t nat -p tcp -m multiport --sports 0:1024 -j ACCEPT

После этой правки, можно попробовать примонтировать NFS шару.
Если это поможет - есть три варианта(по крайней мере в 10.1):
1. Выставить приоритеты скриптам инициализации таким образом, чтобы служба NFS монтировала удаленные шары строго до старта DrWeb.
2. Прописывать эту команду после каждого рестарта Spider Gate
3. Настроить ручной режим работы компонента Firewall и сконфигурировать iptables самостоятельно(один раз). Обратите внимание, что при остановке Spider Gate будет необходимо самостоятельно очищать правила iptables

В следующих версиях постараемся автоматизировать решение этой проблемы.

Спасибо. Добавление правила iptables помогло.
Надеюсь в следующей версии Dr.Web все будет работать из коробки.

Сообщение было изменено milton: 30 Июнь 2015 - 17:52