NFS服务器几大安全战略
发布时间:2022-04-20 10:54:45 所属栏目:安全 来源:互联网
导读:本篇文章主要谈到的是NFS服务器的安全策略。我们都知道,互联网 的优势就来源于资源共享。那么在这里面我们则是使用NFS协议来完成共享的。NFS由Sun公司开发,目前已经成为文件服务的一种标准(RFC1904,RFC1813)。其***的功能就是可让不同操作系统的计算机
|
本篇文章主要谈到的是NFS服务器的安全策略。我们都知道,互联网 的优势就来源于资源共享。那么在这里面我们则是使用NFS协议来完成共享的。NFS由Sun公司开发,目前已经成为文件服务的一种标准(RFC1904,RFC1813)。其***的功能就是可让不同操作系统的计算机共享数据,所以也可以将它看做是一个文件服务器。NFS提供了除SAMBA之外,Windows与Linux、Unix与Linux之间通信的方法。 NFS服务器安全策略:使用TCP_Wrappers portmap和rpc.nfsd结合起来,使NFS服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全,在使用NFS时***结合TCP_Wrappers来限制使用范围。 NFS服务器安全策略:使用iptables防火墙 因为NFS在网络上明文传输所有信息,所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。无论何时在不安全的网络上传递NFS信息都有被截取的危险。从这个角度讲,谨慎制定网络计划就有助于防御重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙,除了TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用Linux 2.4或更高版本内核的今天,了解iptables这种防火墙方法也就足够了。 缺省的状态下,portmap使用111端口,而NFS使用2049端口,可以通过iptables来限制对该端口的访问: iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 111 -j DROP iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 2049 -j DROP iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip –dport 2049 -j ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport 2049 -j DROP NFS服务器安全策略:把开放目录限制为只读权限 可以在/etc/exports文件中设定权限选项ro,通常需要把NFS服务器对客户开放的任何目录或文件系统设置为只读访问: /app devpc.nitec.com(ro) 这样,devpc.nitec.com网络中的客户只能对/app目录进行只读访问。 NFS服务器安全策略:禁止对某些目录的访问 当开放一个完整的文件系统或者一个目录时,缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项,例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录: /pub weblab-??.nitec.com (ro) /pub/staff-only weblab-??.nitec.com (noaccess) 注意: “??”代表任意字符。 NFS服务器安全策略:root squashing访问问题 按照默认设置,root用户的用户ID和组群ID都是0。root权限压缩(Root squashing)把用户ID0和组群ID0映射为匿名的用户和组群ID,因此客户上的根用户就不会在NFS服务器上具备根特权。如果这个选项被选,root用户就不会被映射为匿名用户,客户上的root用户就会对导出的目录拥有根特权。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐