Network File System
Das Network File System (NFS, auch Network File Service) – ist ein von Sun Microsystems entwickeltes Protokoll, das den Zugriff auf Dateien über ein Netzwerk ermöglicht. Dabei werden die Dateien nicht wie z. B. bei FTP übertragen, sondern die Benutzer können auf Dateien, die sich auf einem entfernten Rechner befinden, so zugreifen, als ob sie auf ihrer lokalen Festplatte abgespeichert wären.
Anwendung | NFS | |||
Darstellung | XDR | |||
Sitzung | (Sun-) RPC | |||
Transport | (UDP) | TCP | ||
Netzwerk | IP (IPv4, IPv6) | |||
Netzzugang | Ethernet | Token Ring |
FDDI | … |
Bei diesem Unix-Netzwerkprotokoll handelt es sich um einen Internet-Standard (RFC 1094, RFC 1813, RFC 3530, RFC 7530), der auch als verteiltes Dateisystem (englisch distributed file system) bezeichnet wird.
Die Entsprechung zu NFS heißt unter Windows- und OS/2-Umgebungen Server Message Block (SMB). Während sich bei SMB der Benutzer authentifiziert, authentisiert das populärere NFSv3 den Client-Rechner, erst NFSv4 ermöglicht Benutzerauthentifikation. NFS-Dienste sind auch auf Microsoft-Windows-Servern verfügbar, wodurch UNIX-Workstations Zugang zu deren Dateien erhalten können, allerdings wird in gemischten Umgebungen meist SMB mit Samba auf Unixseite verwendet.
NFS arbeitet auf dem Netzwerkprotokoll IP ursprünglich zusammen mit dem zustandslosen UDP. Mittlerweile gibt es aber auch NFS über TCP. NFSv4 arbeitet nur mit TCP und benötigt nur noch einen Port (2049), was den Betrieb durch Firewalls erleichtert. NFSv4 wurde maßgeblich durch die IETF entwickelt, nachdem Sun die Entwicklung abgegeben hatte.[1]
Schematischer Ablauf der Datenübertragung
Im Folgenden ist der prinzipielle Ablauf einer NFS-Kommunikation des alten zustandslosen NFS bis einschließlich Version 3 beschrieben. Szenario: Ein Nutzer des Client-Rechners möchte ein entferntes Verzeichnis (/directory) öffnen und eine darin befindliche Datei (test) anzeigen lassen.
Damit ein Datenaustausch zwischen NFS-Server und -Client stattfinden kann, muss der NFS-Server gestartet und beim Portmapper registriert sein.
- Client kontaktiert Portmapper auf Port 111 und fragt nach dem Port des Mount-Daemons (mountd)
- Portmapper gibt Portnummer für mountd heraus. Typischerweise ist das 694.
- Client kontaktiert mountd und fragt nach einem Filehandle für /directory, des vom Clienten zu mountenden Verzeichnisses des Servers.
- mountd gibt ein Filehandle 0 als root-Filehandle für das zu mountende Verzeichnis des Servers zurück
- Client kontaktiert Portmapper und fragt nach dem Port für NFS (nfsd). Typischerweise ist das 2049.
- Portmapper gibt Portnummer für nfsd heraus
- Client führt LOOKUP-Prozedur aus mit den Parametern Filehandle 0 und dem Dateinamen (test)
- nfsd gibt Filehandle 1 für Datei (test) heraus
- Client führt READ-Prozedur aus mit dem Parameter Filehandle 1
- nfsd gibt Inhalt der Datei (test) zurück (Daten)
Design der frühen Versionen des Systems
Ein Programm greift auf das Dateisystem über Systemaufrufe zu. Unter Unix sind die wichtigsten Systemaufrufe:
- open, close – Öffnen und Schließen einer Datei
- read, write – Lesen und Schreiben
- create, unlink – Erzeugen und Löschen
- mkdir, rmdir – Erzeugen und Löschen eines Verzeichnisses
- readdir – Lesen von Verzeichniseinträgen
Ein Netzwerkdateisystem muss diese Aufrufe in Netzwerkpakete verpacken und an einen Server senden. Dieser antwortet dann mit der entsprechenden Information oder einem Fehler.
Die Entwickler von Sun Microsystems entschieden sich zunächst für ein Remote-Procedure-Call-Modell. XDR setzt die Parameter des RPCs in ein maschinenunabhängiges Format um, die Zugriffe werden dann über den RPC Mechanismus wie ein normaler Unterprogrammaufruf behandelt.
Die Systemaufrufe werden aber nicht direkt in RPC-Aufrufe umgesetzt, da dann eine über open geöffnete Datei auch auf dem Server geöffnet werden müsste. Bei vielen Clients wären die Server dann schnell überlastet, da die Maschinen Mitte der 1980er-Jahre noch relativ wenig Speicher hatten. Die Aufgaben des Servers wurden daher so einfach wie möglich gehalten, der Server merkt sich keine Dateiinformationen zwischen zwei RPC-Aufrufen. Er ist also zustandslos.
Statt open wird ein lookup-Aufruf implementiert. Dieser liefert ein Datei-„Handle“, das die Inodenummer und die Gerätenummer des Massenspeichers auf dem Server enthält. Über dieses Handle kann eine Datei auf dem Server eindeutig identifiziert werden. Unter Unix steht über diese beiden Nummern die Dateiinformation effizient ohne aufwändige Suche eindeutig zur Verfügung.
Die weiteren Aufrufe wie read oder write müssen stets ein Offset übergeben, so dass der Server auch hier ohne Kenntnis früherer Operation die gewünschte Information eindeutig liefern kann.
Weitere Eigenschaften des Protokolls sind
- nur kurze Cachezeiten (wenige Sekunden) für Verzeichnisinformationen und Dateiattribute
- kein Datencache
- Verwendung des verbindungslosen User Datagram Protocols (UDP) optional TCP (NFSv4 nur TCP)
- Lock- und Mount-Operationen über zusätzliche Hilfsprotokolle
- Verwendung von Unix-Dateiattributen (zum Beispiel Benutzer-uid)
Wegen des einfachen Designs läuft NFS in normalen Umgebungen gut:
- lokales Netzwerk mit kurzen Antwortzeiten
- Ausführen von Programmen über das lokale Netzwerk
- Normale Benutzeraktivitäten (Editieren, Programme übersetzen)
- Server mit relativ wenig Arbeitsspeicher
Weniger gut ist das Verhalten bei
- gemeinsamer Nutzung von Dateien
- Verwendung über das Internet (lange Antwortzeiten, geringe Sicherheit)
- Verwendung von Firewalls (UDP, kein fester Port wegen Portmapper) (Unter NFSv4 kein Problem mehr; jegliche Kommunikation läuft über Port 2049/TCP)
Das Protokoll wurde Ende der 1980er-Jahre entwickelt. Auch teure Workstations hatten zu dieser Zeit nur wenige Mebibytes Arbeitsspeicher, typisch etwa 4 bis 8 MiB. Ein NFS-Server kann auf solchen Maschinen aufgrund des Designs trotzdem effizient betrieben werden.
Wegen des zustandslosen Servers kann dieser ohne Datenverlust heruntergefahren und neu gestartet werden. Programme stürzen nicht ab und Benutzer müssen dann einfach warten, bis der Server wieder verfügbar ist.
Festplattenlose Arbeitsrechner
Arbeitsrechner (Workstations) können über NFS ganz ohne Festplatte betrieben werden. Das Betriebssystem und die Betriebsparameter können über Protokolle wie BOOTP und TFTP geladen werden. Ein spezieller Kernel (z. B. Linux) kann dann über NFS bereits auf das Root-Laufwerk unter Unix zugreifen. Spezielle plattenlose Arbeitsrechner (diskless workstations) wurden von der Firma Sun in den 1990er-Jahren angeboten.
Vorteile sind ein verringerter Wartungsaufwand, gemeinsame Nutzung von Speicherplatz sowie einfachere und preiswerte Client-Workstations (Thin Clients). Bei vielen Clients wird der Server jedoch stark belastet, außerdem sind die Zugriffe über Netzwerk in den meisten Fällen langsamer.
PC-NFS
Sun und andere Firmen boten in den 1990er Jahren auch NFS-Clientsoftware für PCs unter Windows an, das PC-NFS. Der Server musste weiterhin eine Unix-Workstation sein. Bis Windows for Workgroups war der Netzwerkzugriff unter Windows nicht Teil des Betriebssystems. In Unix-Umgebungen wurde der Einsatz von PCs dadurch wesentlich erleichtert.
PC-NFS musste mit den unterschiedlichen Konzepten des DOS/Windows-Systems kämpfen. Die damaligen Windows-Versionen erlaubten nur Dateinamen mit bis zu acht Zeichen sowie eine drei Zeichen lange Erweiterung, die durch einen Punkt abgetrennt wurde (z. B. AUTOEXEC.BAT
, die sogenannte 8.3-Notation), während Unix 255 Zeichen lange Pfadnamen erlaubte. Die Dateinamen unterschieden im Gegensatz zu DOS zwischen Groß- und Kleinschreibung. PC-NFS musste also zwischen den Dateinamenkonzepten übersetzen.
Ein Unix-Dateiname file.txt erschien als FILE.TXT unter Windows/DOS, während ein Dateiname Dokumentation.txt etwa in DOKUME~1.TXT umgesetzt wurde.
NFS Version 4
Die NFS Version 4 stellt eine Neuimplementierung dar, die neuere Erfordernisse berücksichtigt. Sie ist in RFC 7530 standardisiert.
Die Unix-Lastigkeit der frühen Versionen wird so weit wie möglich verringert. Die UNIX-Benutzer- und Gruppennummern werden durch eindeutigere Zeichenketten nach dem Muster nutzer@domain ersetzt. nutzer ist hierbei der Nutzername auf dem Server, domain ist die Domain des Servers, also der Teil des Hostnamens, der nicht den Server selbst identifiziert (srv.cs.example.net → cs.example.net). Durch die Kennung user@cs.example.net kann nun auf allen Rechnern der Domain cs.example.net der Nutzer eindeutig identifiziert werden, auch wenn der Nutzer user auf dem Server die Unix-User-ID 1050 hat und auf dem Client z. B. 1100. Dies führte bei früheren NFS-Versionen zu Problemen, wenn keine konsistente Nutzernummerierung eingehalten wurde. Für die Umsetzung der neuen NFS-Nutzernamen in (Unix-)Nutzer-IDs ist unter Linux zum Beispiel der Dienst rpc.idmapd (ID mapper daemon), unter FreeBSD der Daemon nfsuserd (NFS user daemon) zuständig (sowohl für Server- als auch für Clientseite). Die Nutzernamen werden nur richtig zugeordnet, wenn Server und Client die gleiche Domain haben, ansonsten wird als Eigentümer nobody.nogroup angegeben.
Da manche Dateisysteme keine effiziente Implementierung von eindeutigen Datei-Handles ermöglichen, werden flüchtige Handles eingeführt, die nur eine bestimmte Zeit zur Verfügung stehen. Unter Unix kann man Handles sehr einfach aus der Geräte- und Inode-Nummer konstruieren. Auch Dateisysteme, die nicht zwischen Groß- und Kleinschreibung unterscheiden, sowie benutzerdefinierte Dateiattribute werden jetzt unterstützt.
Das Mount- und Lockprotokoll sind jetzt Bestandteil des Protokolls selbst, Hilfsprotokolle werden nicht mehr benötigt. Das Protokoll selbst läuft auf dem festen TCP-Port 2049, UDP wird nicht mehr unterstützt. Zwar liefen auch schon frühere Versionen auf diesem Port, die Hilfsprotokolle wurden vom RPC-Portmapper aber dynamisch zugeteilt. Die Verwendung von Firewalls bei NFS-Verbindungen wird durch diese Maßnahmen stark vereinfacht.
Mehrere Anfragen können gebündelt werden (combined request), sie werden dann vom Server ausgeführt und nur eine Antwort muss zurückgesendet werden. Das Protokoll kann damit effizient auch im Weitverkehrsbereich (WAN) eingesetzt werden, zum Beispiel zwischen verschiedenen Standorten einer Organisation.
Verschlüsselung und Authentifizierung sind jetzt Teil der Spezifikation. Zwar war früher schon über Secure-RPC eine Verschlüsselung möglich. Das wurde nur selten genutzt, unter anderem, weil Secure-RPC nicht überall zur Verfügung stand.
Der lookup-Aufruf wird durch open ersetzt, die Speicherung von Dateiinformationen wird dadurch möglich. Beispielsweise könnte die Schreib-/Leseposition auf dem Server verwaltet werden. Auch die gemeinsame Nutzung von Dateien wird besser unterstützt. Falls viele Clients eine Datei nur lesen, kann diese an alle Clients verliehen (leases) werden. Wenn ein Client eine Datei schreiben möchte, kann diese exklusiv verliehen werden.
In Version 4.1 ist unter anderem paralleler Zugriff auf über mehrere Server verteilten Speicher hinzugefügt worden. Ab Version 4.2 im November 2016 werden serverseitige Kopien und Sparsefiles unterstützt.
Konfiguration in Unix-Systemen
Die NFS-Freigaben werden unter Unix serverseitig meist in der Datei /etc/exports festgelegt, die nach dem folgenden Schema aufgebaut ist. Dabei sind die Unterschiede zwischen Linux- und FreeBSD-Systemen zu beachten:
# Server-Adresse: 10.0.0.1 # NFSv2, NFSv3: # Exportiert /path/to/directory an alle IPs von 10.0.0.0 bis 10.0.255.255, # und zwar zum Lesen/Schreiben (rw), asynchronem Zugriff (Daten werden # nicht sofort geschrieben) und auch von Ports über 1024 aus (insecure) # # Erreichbar als: 10.0.0.1:/path/to/directory # ### Linux-Systeme /path/to/directory 10.0.0.0/16(rw,async,insecure)
### FreeBSD /path/to/directory -network 10.0.0.0/16
# NFSv4: # Benötigt zur optimalen Funktion eine Freigabe mit der Option fsid=0. # Diese wird als root-Freigabe genutzt und ist als die Freigabe / zu # erreichen. Die anderen Freigaben liegen unterhalb davon. Ansonsten # ist optional eine Authentifizierung/Verschlüsselung mit Kerberos # möglich. # ### Linux-Systeme: # Erreichbar als 10.0.0.1:/ # Wird diese Freigabe eingehängt, so sind alle darunterliegenden # Freigaben logischerweise zugänglich. /path/to/nfsv4/root 10.0.0.0/16(rw,async,insecure,fsid=0) # Erreichbar als 10.0.0.1:/export1 /path/to/nfsv4/root/export1 10.0.0.0/16(rw,async,insecure)
### FreeBSD # Root-Punkt spezifizieren (unter Linux der mit fsid=0 markierte Punkt) V4: /path/to/nfsv4/root -network 10.0.0.0/16 # Freigaben angeben /path/to/nfsv4/root/export1 -network 10.0.0.0/16
Der Client kann eine Freigabe manuell mounten oder ggf. mit einem Eintrag in der Datei fstab automatisieren.
Vielen aktuellen Linux-Distributionen liegen grafische Hilfswerkzeuge bei, um die Einbindung von NFS-Freigaben ins System zu vereinfachen, zum Beispiel das NFS-YaST-Plugin unter openSUSE.
Sicherheit
NFS Version 3 und früher
NFS wurde geschaffen, um in Unix-Netzen Dateisysteme über Rechnergrenzen hinweg zugänglich zu machen. Zur Zeit der Entwicklung von NFS waren solche Netze fast ausschließlich zentral verwaltet und die Rechner wurden zentral administriert, entsprechend wurde das Sicherheitskonzept gestaltet.
Die Entwickler von NFS bei Sun Microsystems hatten ursprünglich vorgesehen, die Sicherheit als Aufgabe der RPC-Schicht zu implementieren. Dazu wird RPC durch Secure-RPC ersetzt. Die NFS-Protokolle selbst bleiben davon unberührt. Secure-RPC hat allerdings keine weite Verbreitung gefunden, die Verwendung ist auch nicht bei allen Implementierungen möglich.
Ein NFS-Server ohne Secure-RPC exportiert Dateisysteme an bestimmte andere Rechner (von root durch IP-Adressen festgelegt), d. h. der root-User eines Clientrechners kann auf alle Dateien zugreifen, die der Server an den Client exportiert, unabhängig von deren Zugriffsrechten. Die Zugriffsrechte (der Benutzer) werden von NFS an den Client mitübertragen und vom Betriebssystem des jeweiligen Rechners ausgewertet und gegenüber den Benutzern durchgesetzt. Die Konsistenz der Benutzerdatenbank auf den beteiligten Rechnern wird dabei z. B. durch NIS erreicht.
Heute sind Rechnernetze häufig offen und nur bedingt zentral administriert, d. h. ein Angreifer kann relativ einfach entweder einen Rechner übernehmen, dem der NFS-Server vertraut, indem er ihn z. B. mit einem Live-System neu bootet oder einen zusätzlichen Laptop ins Netz hängt und die IP eines gerade nicht laufenden NFS-Clients annimmt. In beiden Fällen kann der Angreifer, da er auf seinem System Rootrechte hat, auf alle an den Client exportierten Dateien zugreifen, unabhängig von deren Zugriffsrechten. Somit ist NFS v3 ohne separat installiertes Kerberos immer nur so sicher wie das Netz und die beteiligten Rechner.
Mit der Server-Option root_squash (unter FreeBSD mit der in der entsprechenden Zeile anzugebenden Option -maproot=<USER>) kann man das oben genannte Szenario unterbinden. Damit werden Zugriffe durch Benutzer mit der UID 0 (meist root) als Zugriffe des anonymen Benutzers (UID=65534) gewertet, der dann u. U. keinerlei Zugriffsrechte auf die freigegebenen Dateien hat. Ein Angreifer muss nun beim Verbinden so lange unterschiedliche UIDs ausprobieren, bis er die UID des Benutzers oder der Gruppe erwischt, die berechtigt ist. Da es nur (65536) UIDs gibt, bietet auch dieses Vorgehen keine echte Sicherheit.
NFS Version 4
NFSv4 löst dieses Problem, indem z. B. Kerberos nun Bestandteil des Protokolls ist und eine Authentifizierung der Benutzer ermöglicht. Zudem lässt sich mit einer ebenfalls optionalen Verschlüsselung auch die Vertraulichkeit sicherstellen.
Verfügbare Sicherheitsmodi
Beim Verbinden kann einer der folgenden Mechanismen gewählt werden, um das Sicherheitsniveau (welches auch die Übertragungsgeschwindigkeit beeinflusst) festzulegen:
Bezeichnung | Bedeutung | Mount-Option |
---|---|---|
sys | Benutzeridentifikation erfolgt nach dem Schema von NFS3. Dies bietet sehr wenig Sicherheit. | sec=sys |
krb5 | Server und Client authentifizieren sich gegenseitig unter Benutzung der GSS-Schnittstelle mittels Kerberos. Dies unterbindet das obige Angriffsszenario. | sec=krb5 |
krb5i | Zusätzlich wird die Integrität der übertragenen Daten sichergestellt. Dies verhindert eine Veränderung der Daten durch einen Man In The Middle. | sec=krb5i |
krb5p | Die Vertraulichkeit der übertragenen Daten wird zusätzlich zur Integrität gewährleistet. Dies verhindert ein Mitlesen durch einen Angreifer im Netzwerk. | sec=krb5p |
Eine Freigabe kann mehrere Mechanismen anbieten, aus denen der Client einen durch die Mount-Option auswählen kann.
Normen und Standards
Die Version 1.0 hat Sun Microsystems im Jahr 1984 erstellt.[3] Ab der Version 2.0 erfolgte die weitere Standardisierung als Request for Comments. Erst mit der Version 4.0 erfolgte der Wechsel vom Status Informational in Offizieller Standard. Die drei Versionen 4.0, 4.1 und 4.2 sind alle zugleich aktuelle Standards, deshalb gibt es seit 2017 auch Ergänzungen ohne Versionsnummer:
a) Ursprünglicher Pfad von Version 2 zu Version 4.0:
- RFC 1094 NFS Version 2 Protocol Specification (1989, veraltet durch RFC 3010)
- RFC 1813 NFS Version 3 Protocol Specification (1995, veraltet durch RFC 3010)
- RFC 3010 NFS Version 4 Protocol (2000, veraltet durch RFC 3530)
- RFC 3530 Network File System (NFS) version 4 Protocol (2003, veraltet durch RFC 7530)
- RFC 7530 NFS Version 4 Protocol Specification (2015)
- RFC 7931 NFSv4.0 Migration: Specification Update (2016)
b) Neuere Versionen 4.x
- RFC 5661 Network File System (NFS) Version 4 Minor Version 1 Protocol (NFS 4.1, 2010)
- RFC 7862 Network File System (NFS) Version 4 Minor Version 2 Protocol (NFS 4.2, 2016)
c) Ergänzungen für 4.x
Weblinks
- Projektseite (Memento vom 5. Juli 2011 im Internet Archive) (englisch)
- Linux-Implementierung von nfs (englisch)
- Christopher Smith: Linux NFS-HOWTO. 2. Mai 2006. Abgerufen am 16. Dezember 2010.
- Linkkatalog zum Thema NFS bei curlie.org (ehemals DMOZ) (englisch)
- Microsoft Technet: Installation des NFS-Clients unter Windows
- SelfLinux: NFS – Network File System
Einzelnachweise
- Network File System Version 4 (nfsv4). In: IETF Datatracker. IETF, abgerufen am 4. März 2021 (englisch).
- Charles Fisher: Encrypting NFSv4 with Stunnel TLS. In: Linux Journal. Slashdot Media, LLC, 3. August 2018, abgerufen am 14. Januar 2022 (englisch): „The sec=krb5p option will encrypt NFSv4 traffic in a Kerberos realm, but requiring this infrastructure is inappropriate in hosted environments and is generally far from helpful. Basic access to symmetric cryptography does not and should not mandate such enormous baggage.“
- Design and Implementation of the Sun Network Filesystem. USENIX. 1985.