網(wǎng)絡(luò)的環(huán)境是復(fù)雜的。那么尤其是我們對(duì)一些程序或者是資源進(jìn)行共享的時(shí)候更要注意安全問(wèn)題。那么這里我們就來(lái)討論一下NFS Server的安全問(wèn)題吧。

NFS Server安全

NFS的不安全性主要體現(xiàn)于以下4個(gè)方面:

1、新手對(duì)NFS的訪問(wèn)控制機(jī)制難于做到得心應(yīng)手,控制目標(biāo)的精確性難以實(shí)現(xiàn)

2、NFS沒(méi)有真正的用戶(hù)驗(yàn)證機(jī)制,而只有對(duì)RPC/Mount請(qǐng)求的過(guò)程驗(yàn)證機(jī)制

3、較早的NFS可以使未授權(quán)用戶(hù)獲得有效的文件句柄

4、在RPC遠(yuǎn)程調(diào)用中,一個(gè)SUID的程序就具有超級(jí)用戶(hù)權(quán)限.

加強(qiáng)NFS安全的方法:

1、合理的設(shè)定/etc/exports中共享出去的目錄,最好能使用anonuid,anongid以使MOUNT到NFS Server的CLIENT僅僅有最小的權(quán)限,最好不要使用root_squash.

2、使用IPTABLE防火墻限制能夠連接到NFS Server的機(jī)器范圍

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

3、為了防止可能的Dos攻擊,需要合理設(shè)定NFSD 的COPY數(shù)目.

4、修改/etc/hosts.allow和/etc/hosts.deny達(dá)到限制CLIENT的目的

/etc/hosts.allow

portmap: 192.168.0.0/255.255.255.0 : allow

portmap: 140.116.44.125 : allow

/etc/hosts.deny

portmap: ALL : deny

5、改變默認(rèn)的NFS Server端口

NFS默認(rèn)使用的是111端口,但同時(shí)你也可以使用port參數(shù)來(lái)改變這個(gè)端口,這樣就可以在一定程度上增強(qiáng)安全性.

6、使用Kerberos V5作為登陸驗(yàn)證系統(tǒng)