網絡的環境是復雜的。那么尤其是我們對一些程序或者是資源進行共享的時候更要注意安全問題。那么這里我們就來討論一下NFS Server的安全問題吧。

NFS Server安全

NFS的不安全性主要體現于以下4個方面:

1、新手對NFS的訪問控制機制難于做到得心應手,控制目標的精確性難以實現

2、NFS沒有真正的用戶驗證機制,而只有對RPC/Mount請求的過程驗證機制

3、較早的NFS可以使未授權用戶獲得有效的文件句柄

4、在RPC遠程調用中,一個SUID的程序就具有超級用戶權限.

加強NFS安全的方法:

1、合理的設定/etc/exports中共享出去的目錄,最好能使用anonuid,anongid以使MOUNT到NFS Server的CLIENT僅僅有最小的權限,最好不要使用root_squash.

2、使用IPTABLE防火墻限制能夠連接到NFS Server的機器范圍

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

3、為了防止可能的Dos攻擊,需要合理設定NFSD 的COPY數目.

4、修改/etc/hosts.allow和/etc/hosts.deny達到限制CLIENT的目的

/etc/hosts.allow

portmap: 192.168.0.0/255.255.255.0 : allow

portmap: 140.116.44.125 : allow

/etc/hosts.deny

portmap: ALL : deny

5、改變默認的NFS Server端口

NFS默認使用的是111端口,但同時你也可以使用port參數來改變這個端口,這樣就可以在一定程度上增強安全性.

6、使用Kerberos V5作為登陸驗證系統