Add a default flavor to an export's e_secinfo list
authorChuck Lever <>
Sat, 23 Mar 2013 12:25:39 +0000 (08:25 -0400)
committerSteve Dickson <>
Mon, 25 Mar 2013 14:09:11 +0000 (10:09 -0400)
The list of security flavors that mountd allows for the NFSv4
pseudo-fs is constructed from the union of flavors of all current

exports(5) documents that the default security flavor for an
export, if "sec=" is not specified, is "sys".  Suppose
/etc/exports contains:

/a  *(rw)
/b  *(rw,sec=krb5:krb5i:krb5p)

The resulting security flavor list for the pseudo-fs is missing
"sec=sys".  /proc/net/rpc/nfsd.export/content contains:

/a  *(rw,root_squash,sync,wdelay,no_subtree_check,
/b  *(rw,root_squash,sync,wdelay,no_subtree_check,
/   *(ro,root_squash,sync,no_wdelay,v4root,fsid=0,

The root entry is not correct, as there does exist an export whose
unspecified default security flavor is "sys".  The security settings
on the root cause sec=sys mount attempts to be incorrectly rejected.

The reason is that when the line in /etc/exports for "/a" is parsed,
the e_secinfo list for that exportent is left empty.  Thus the union
of e_secinfo lists created by set_pseudofs_security() is

I fixed this by ensuring that if no "sec=" option is specified for
an export, its e_secinfo list gets at least an entry for AUTH_UNIX.

[ Yes, we could make the security flavors allowed for the pseudo-fs
a fixed list of all flavors the server supports.  That becomes
complicated by the special meaning of AUTH_NULL, and we still have
to check /etc/exports for whether Kerberos flavors should be listed.
I opted for a simple approach for now. ]

Acked-by: J. Bruce Fields <>
Signed-off-by: Chuck Lever <>
Signed-off-by: Steve Dickson <>

index 84a2b08..6c08a2b 100644 (file)
@@ -643,6 +643,8 @@ bad_option:
+       if (ep->e_secinfo[0].flav == NULL)
+               secinfo_addflavor(find_flavor("sys"), ep);
        ep->e_squids = squids;
        ep->e_sqgids = sqgids;
        ep->e_squids = squids;
        ep->e_sqgids = sqgids;