如何确保NFS服务安全

网络 网络管理
下面我们来谈一下NFS服务安全的问题。首先我们分析了NFS服务安全的一些漏洞,之后对于加强安全防范的措施进行了了解。

对于NFS的安全问题,我们是不能掉以轻心的。那么我们如何确保它的安全呢?这里我们首先我们需要分析一下它的不安全性。看看在那些方面体现了它的不安全。NFS服务安全性分析:不安全性主要体现于以下4个方面:

1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现

2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制

3、较早的NFS可以使未授权用户获得有效的文件句柄

4、在RPC远程调用中,一个SUID的程序就具有超级用户权限.

加强NFS服务安全的方法:

1、合理的设定/etc/exports**享出去的目录,最好能使用 anonuid,anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限,最好不要使用root_squash.

2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

3、为了防止可能的Dos攻击,需要合理设定NFSD 的COPY数目.

4、修改/etc/hosts.allow和/etc /hosts.deny达到限制CLIENT的目的

/etc/hosts.allow

portmap: 192.168.0.0/255.255.255.0 : allow

portmap: 140.116.44.125 : allow

/etc/hosts.deny

portmap: ALL : deny

5、改变默认的NFS 端口

NFS默认使用的是111端口,但同时你也可以使用port参数来改变这个端口,这样就可以在一定程度上增强安全性.

6、使用Kerberos V5作为登陆验证系统

修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的

/etc/hosts.allow

portmap: 192.168.0.0/255.255.255.0 : allow

portmap: 140.116.44.125 : allow

这个NFS服务安全得多注意!!

/tmp     *(rw,no_root_squash)

no_root_squash:登入到NFS主机的用户如果是ROOT用户,他就拥有ROOT的权限,此参数很不安全,建议不要使用.

有时需要执行umont卸载nfs盘阵时,会遇见device is busy的情况,字面意思理解为设备忙,有其他进程正在使用此设备.

此时需要用到命令fuser

其格式为: $ fuser -m -v  (nfs挂载点) 回车执行后得到的结果依次是:用户 进程号 权限 命令

此命令可以查看到访问此设备的所有进程,停止进程后umount.

如果添加参数 -k则可以一次性将所有当前访问nfs共享盘阵的进程停止 也可以加-i 打开交互显示,以便用户确认

或者用fuser命令:

#fuser -v -m 挂载点

即可查处 用户 PID等,KILL掉该进程后再umount.

或者

#umount -l 挂载点

选项 –l 并不是马上umount,而是在该目录空闲后再umount.还可以先用命令 ps aux 来查看占用设备的程序PID,然后用命令kill来杀死占用设备的进程,这样就umount的NFS服务安全非常放心了.

责任编辑:佟健 来源: ZDNET
相关推荐

2014-06-11 15:33:39

2011-03-25 11:39:29

2009-08-14 14:31:43

2021-03-26 14:30:54

安全服务器架构的安全

2019-07-25 10:44:52

2013-11-01 09:15:21

2022-08-02 10:43:44

智能工厂安全

2020-06-28 11:00:18

大数据数据湖安全

2010-08-05 09:43:09

NFS服务器安全

2013-05-15 09:31:17

2014-11-03 09:31:55

2021-08-06 11:12:58

物联网安全设备

2014-12-30 10:21:06

2009-08-27 17:23:57

SSL证书网站安全

2014-12-30 11:22:30

2021-10-19 06:05:20

网站安全网络威胁网络攻击

2009-09-08 16:31:07

2011-06-03 10:34:37

2011-06-30 09:30:57

rsyslogLinux日志红帽企业级

2015-03-18 14:30:09

点赞
收藏

51CTO技术栈公众号