網(wǎng)絡(luò)的環(huán)境是復(fù)雜的。那么尤其是我們對一些程序或者是資源進(jìn)行共享的時候更要注意安全問題。那么這里我們就來討論一下NFS Server的安全問題吧。

NFS Server安全

NFS的不安全性主要體現(xiàn)于以下4個方面:

1、新手對NFS的訪問控制機(jī)制難于做到得心應(yīng)手,控制目標(biāo)的精確性難以實現(xiàn)

2、NFS沒有真正的用戶驗證機(jī)制,而只有對RPC/Mount請求的過程驗證機(jī)制

3、較早的NFS可以使未授權(quán)用戶獲得有效的文件句柄

4、在RPC遠(yuǎn)程調(diào)用中,一個SUID的程序就具有超級用戶權(quán)限.

加強(qiáng)NFS安全的方法:

1、合理的設(shè)定/etc/exports中共享出去的目錄,最好能使用anonuid,anongid以使MOUNT到NFS Server的CLIENT僅僅有最小的權(quán)限,最好不要使用root_squash.

2、使用IPTABLE防火墻限制能夠連接到NFS Server的機(jī)器范圍

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

3、為了防止可能的Dos攻擊,需要合理設(shè)定NFSD 的COPY數(shù)目.

4、修改/etc/hosts.allow和/etc/hosts.deny達(dá)到限制CLIENT的目的

/etc/hosts.allow

portmap: 192.168.0.0/255.255.255.0 : allow

portmap: 140.116.44.125 : allow

/etc/hosts.deny

portmap: ALL : deny

5、改變默認(rèn)的NFS Server端口

NFS默認(rèn)使用的是111端口,但同時你也可以使用port參數(shù)來改變這個端口,這樣就可以在一定程度上增強(qiáng)安全性.

6、使用Kerberos V5作為登陸驗證系統(tǒng)