一��、軟件版本:
Red Flag WorkStation 5.0
NFS Server
二�、安裝:
直接采用系統(tǒng)自帶RPM安裝��。
三�����、編輯/etc/exports文件
/tmp *(rw,sync)
/tmp
四��、啟動(dòng)服務(wù)器
Service portmap start
Service nfs start
Service nfslock start
五����、客戶端使用
Mount -t nfs 192.168.0.22:/root /mnt
六����、容易出現(xiàn)的問(wèn)題:
a) Portmap沒有正常啟動(dòng)啟動(dòng)
b) 當(dāng)NFS Server 上面的/etc/hosts文件中的域名與本機(jī)IP不對(duì)稱時(shí)�,會(huì)出現(xiàn)無(wú)法導(dǎo)出共享目錄的現(xiàn)象。即exportfs 命令導(dǎo)出共享時(shí)間極長(zhǎng)���,導(dǎo)致無(wú)法導(dǎo)出���,或者showmount –e命令顯示本機(jī)共離時(shí)顯示” mount clntudp_create: RPC: Port mapper failure - RPC: Timed out”錯(cuò)誤。
c) NFS server端防火墻導(dǎo)致客戶端無(wú)法連接
d) 客戶端防火墻導(dǎo)致客戶端無(wú)法連接:
mount clntudp_create: RPC: Port mapper failure - RPC: Timed out)
七�、 常用的命令:
Exportfs -r 當(dāng)修改過(guò)/etc/exports后,盡量使用此命令更新導(dǎo)出共享�,而不要使用exportfs –a ,因?yàn)榘l(fā)現(xiàn)使用“-a”參數(shù)時(shí),不會(huì)刷新已經(jīng)刪除的共享�����,而是添加上新開的共享目錄��,而參數(shù)“-r”則不會(huì)有這樣的問(wèn)題���。
Showmount -e [ IPADDR ] 顯示本機(jī)或指定IP地址的共享目錄��。
Rpcinfo –p 顯示服務(wù)器上面的RPC信息�����,以查看portmap , nfs服務(wù)是否運(yùn)行正常����。
八、 NFS安全 (轉(zhuǎn))
NFS的不安全性主要體現(xiàn)于以下4個(gè)方面:
1�����、新手對(duì)NFS的訪問(wèn)控制機(jī)制難于做到得心應(yīng)手,控制目標(biāo)的精確性難以實(shí)現(xiàn)
2��、NFS沒有真正的用戶驗(yàn)證機(jī)制,而只有對(duì)RPC/Mount請(qǐng)求的過(guò)程驗(yàn)證機(jī)制
3�、較早的NFS可以使未授權(quán)用戶獲得有效的文件句柄
4、在RPC遠(yuǎn)程調(diào)用中,一個(gè)SUID的程序就具有超級(jí)用戶權(quán)限.
加強(qiáng)NFS安全的方法:
1����、合理的設(shè)定/etc/exports中共享出去的目錄�����,最好能使用anonuid,anongid以使MOUNT到NFS SERVER的CLIENT僅僅有最小的權(quán)限���,最好不要使用root_squash�����。
2�、使用IPTABLE防火墻限制能夠連接到NFS SERVER的機(jī)器范圍
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
3�、為了防止可能的Dos攻擊,需要合理設(shè)定NFSD 的COPY數(shù)目����。
4、修改/etc/hosts.allow和/etc/hosts.deny達(dá)到限制CLIENT的目的
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny
5���、改變默認(rèn)的NFS 端口
NFS默認(rèn)使用的是111端口���,但同時(shí)你也可以使用port參數(shù)來(lái)改變這個(gè)端口,這樣就可以在一定程度上增強(qiáng)安全性��。
6���、使用Kerberos V5作為登陸驗(yàn)證系統(tǒng)
