
Комментарии 2
Решение рабочее, подсвечу нюанс по безопасности: WinNFSd отдаёт squashfs-образ с правами на запись всем в сети. В корпоративной сети это означает, что любая рабочая станция может смонтировать шару и подменить образ загрузки. Стандартная защита – перейти на HTTP-boot: iPXE умеет грузить ядро и initrd через `chain http://ip/ipxe-script`, NFS при этом не нужен вовсе. Меньше зависимостей, меньше поверхность атаки. Кто-нибудь пробовал HTTP-boot вместо NFS – как в продакшне?
Да, я написал об этой проблеме с WinNFSd в статье.
WinNFSd дает доступ на запись, то есть папка
C:\pxesrv\files\будет доступна на запись всем желающим. Что совсем нехорошо.
В случае с PocketHandyBox просто так на HTTP не перейти. В initrd реализована поддержка загрузки squashfs только по NFS. В initrd только busybox и добавлять httpfs2 нет желания.
Загрузка PocketHandyBox Linux с помощью TinyPXE Server, iPXE и WinNFSd