| 摘要:任何网络服务器都会有安全问题,NFS也不例外。由于设计方面的因素,NFS服务器不可能绝对安全。 |
(3)注意配置文件语法错误
NFS服务器通过/etc/exports文件来决定要导出哪些文件系统,以及把这些目录导出到哪些主机上。编辑这个文件的时候要特别小心,不要添加额外的空格。
例如:/etc/exports文件的以下行会使主机bob.example.com能够共享/tmp/NFS/目录。
/tmp/NFS/bob.example.com(rw)
但是/etc/exports文件中这一行的情况却不同。它共享同一目录,让主机bob.example.com拥有只读权限,却给全局以读写权限。这全是由主机后面的一个空格造成的。
/tmp/NFS/
bob.example.com(rw)
使用showmount命令来校验哪些目录被共享,从而检查NFS共享配置是一个好习惯。showmount格式为:
showmount-e
(4)使用iptables防火墙
因为NFS在网络上明文传输所有信息,所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。无论何时在不安全的网络上传递NFS信息都有被截取的危险。从这个角度讲,谨慎制定网络计划就有助于防御重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙,除了TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用Linux2.4或更高版本内核的今天,了解iptables这种防火墙方法也就足够了。缺省的状态下,portmap使用111端口,而NFS使用2049端口,可以通过iptables来限制对该端口的访问:
iptables-tfilter-AINPUT-pudp-d127.0.0.1–dport111-jDROPiptables-tfilter-AINPUT-pudp-d127.0.0.1–dport2049-jDROPiptables-tfilter-AINPUT-pudp-strusted_client-dthis_server_ip–dport49-jACCEPTiptables-tfilter-AINPUT-pudp-snot_trusted_client-dthis_server_ip-dport49-jDROP
(5)把开放目录限制为只读权限
可以在/etc/exports文件中设定权限选项ro,通常需要把NFS服务器对客户开放的任何目录或文件系统设置为只读访问:
/appdevpc.nitec.com(ro)
这样,devpc.nitec.com网络中的客户只能对/app目录进行只读访问。
(6)禁止对某些目录的访问
当开放一个完整的文件系统或者一个目录时,缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项,例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录:
/pubweblab-??.nitec.com(ro)
/pub/staff-onlyweblab-??.nitec.com(noaccess)
注意:“??”代表任意字符。
(7)使用nosuid和noexec选项
SUID(SetUserID)或SGID(SetGroupID)程序可以让普通用户以超过自己权限的形式执行。很多SUID/SGID可执行程序是必须的,比如上面提到的passwd。SUID/SGID程序会被一些恶意的本地用户利用,获取本不应有的权限。运行以下命令可以找到所有具有这一属性的程序:
#find/(-perm-4000-o-perm-2000)
使用者必须查看这一列表,尽量减少那些所有者是root或是在root组中却拥有SUID/SGID属性的文件,删除或对其属性进行更改。使用nosuid选项禁止set-UID程序在NFS服务器上运行,可以修改文件/etc/exports加入一行:
/wwwwww1.nitec.com(rw,root_squash,nosuid)
上面的例子说明:/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是不能运行set-UID程序。
/wwwwww1.nitec.com(rw,root_squash,noexec)
上面的例子说明/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是禁止所登录文件系统中文件的执行。
NFS是非常重要的网络协议,许多企业通过NFS协议共享硬盘和其它设备。把能登录NFS目录设置为只读访问、提高portmap服务的安全性、squashingroot访问、使用onset-UID和nonexecutable文件设置可以提高NFS服务器的安全。
责任编辑:关晓晨
评论表单加载中...
