再谈NFS服务器安全

网络 网络管理
下面我们来谈一下NFS服务器安全的相关话题。在分析了NFS所面临的一些安全问题,之后我们对NFS服务器安全策略进行了介绍。

NFS服务器安全这个话题一直以来都为人津津乐道。随着网络的不断变化,安全问题也越来越被大家所重视。那么针对NFS服务器的一些安全问题,我们从何谈起呢?首先还是了解一下NFS的基本定义吧。NFS是网络文件系统(Network File System)的简称,是分布式计算系统的一个组成部分,可实现在异种网络上共享和装配远程文件系统。NFS由Sun公司开发,目前已经成为文件服务的一种标准(RFC1904,RFC1813)。其***的功能就是可让不同操作系统的计算机共享数据,所以也可以将它看做是一个文件服务器。NFS提供了除SAMBA之外,Windows与Linux、Unix与Linux之间通信的方法。 

任何网络服务器都会有安全问题,NFS也不例外。由于设计方面的因素,NFS服务器不可能绝对安全。一般来说,不应该将NFS服务器运行在比较敏感的系统或者只有一般防火墙的机器上,应该尽量将其置于防火墙之后。配置安全的NFS服务器,可以从限制RCP服务的访问和控制文件系统的导出权限两方面着手。

NFS面临的安全隐患

因为NFS在网络上明文传输所有信息,按照默认设置,NFS共享把根用户改成用户nfsnobody,它是一个不具备特权的用户账号。这样,所有根用户创建的文件都会被用户nfsnobody所有,从而防止了设置setuid的程序被上传到系统。如果使用了no_root_squash,远程用户就能够改变共享文件系统上的任何文件,把设置了特洛伊木马的程序留给其他用户,在无意中执行。

NFS服务器安全策略

(1)使用TCP_Wrappers 。

portmap和rpc.nfsd结合起来,使NFS服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全,在使用NFS时***结合TCP_Wrappers来限制使用范围。

(2)注意配置文件语法错误 根据专家观察,这样的理论和现象都是值得各位站长深思的,所以希望大家多做研究学习,争取总结出更多更好的经验

NFS服务器通过/etc/exports文件来决定要导出哪些文件系统,以及把这些目录导出到哪些主机上。编辑这个文件的时候要特别小心,不要添加额外的空格。 对真正的成功者来说,不论他的生存条件如何,都不会自我磨灭

例如:/etc/exports文件的以下行会使主机bob.example.com 能够共享/tmp/nfs/目录。

  1. /tmp/nfs/ bob.example.com(rw) 

但是 /etc/exports 文件中这一行的情况却不同。它共享同一目录,让主机 bob.example.com 拥有只读权限,却给全局以读写权限。这全是由主机后面的一个空格造成的。 

  1. /tmp/nfs/  
  2. bob.example.com (rw)   

使用 showmount 命令来校验哪些目录被共享,从而检查NFS共享配置是一个好习惯。showmount格式为:

  1. showmount -e 

(3)使用iptables防火墙

因为NFS在网络上明文传输所有信息,所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。无论何时在不安全的网络上传递NFS信息都有被截取的危险。从这个角度讲,谨慎制定网络计划就有助于防御重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙,除了TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用Linux 2.4或更高版本内核的今天,了解iptables这种防火墙方法也就足够了。 缺省的状态下,portmap使用111端口,而NFS使用2049端口,可以通过iptables来限制对该端口的访问:

  1. iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP  
  2. iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP  
  3. iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip --dport \2049 -j  
  4.  ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport  
  5.  \2049 -j DROP 

(4)把开放目录限制为只读权限 根据专家观察,这样的理论和现象都是值得各位站长深思的,所以希望大家多做研究学习,争取总结出更多更好的经验

可以在/etc/exports文件中设定权限选项ro,通常需要把NFS服务器对客户开放的任何目录或文件系统设置为只读访问:

  1. /app devpc.nitec.com(ro)  

这样,devpc.nitec.com网络中的客户只能对/app目录进行只读访问。 

(5)禁止对某些目录的访问

当开放一个完整的文件系统或者一个目录时,缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项,例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录:

  1. /pub weblab-??.nitec.com (ro)   
  2. /pub/staff-only weblab-??.nitec.com (noaccess)  

注意: “??”代表任意字符。

(6)root squashing访问问题

按照默认设置,root用户的用户ID和组群ID都是0。root权限压缩(Root squashing)把用户ID0和组群ID0映射为匿名的用户和组群ID,因此客户上的根用户就不会在NFS服务器上具备根特权。如果这个选项被选,root用户就不会被映射为匿名用户,客户上的root用户就会对导出的目录拥有根特权。选择这个选项会大大降低系统的安全性。除非绝对必要,请不要选择它。为了明确执行该规则,可以修改文件/etc/exports:

  1. /www www1.nitec.com(rw, root_squash)  

这样如果客户端的UID0(root)用户想要访问(读、写、删除)一个NFS文件系统,服务器端会用UID代替服务器的nobody账户。这样客户端的root用户不能修改和访问服务器端root用户才能访问和修改的文件。 。

(7)使用nosuid和noexec选项 根据专家观察,这样的理论和现象都是值得各位站长深思的,所以希望大家多做研究学习,争取总结出更多更好的经验

SUID(Set User ID)或SGID(Set Group ID)程序可以让普通用户以超过自己权限的形式执行。很多SUID/SGID可执行程序是必须的,比如上面提到的passwd。SUID/SGID程序会被一些恶意的本地用户利用,获取本不应有的权限。运行以下命令可以找到所有具有这一属性的程序:

  1. #find / \( -perm -4000 -o -perm -2000 \)  

使用者必须查看这一列表,尽量减少那些所有者是root或是在root组中却拥有SUID/SGID属性的文件,删除或对其属性进行更改。使用nosuid选项禁止set-UID程序在 NFS服务器上运行,可以修改文件/etc/exports加入一行:

  1. /www www1.nitec.com(rw, root_squash, nosuid) 

上面的例子说明:/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是不能运行set- UID程序。

  1. /www www1.nitec.com(rw, root_squash, noexec)  

上面的例子说明/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是禁止所登录文件系统中文件的执行。

NFS是非常重要的网络协议,许多企业通过NFS协议共享硬盘和其它设备。把能登录NFS目录设置为只读访问、提高portmap服务的安全性、squashing root访问、使用on set-UID 和non executable文件设置可以提高NFS服务器安全。

责任编辑:佟健 来源: IT实验室
相关推荐

2009-09-08 16:31:07

2010-08-02 23:34:08

NFS服务器

2010-08-05 14:21:43

NFS服务器

2010-07-28 14:27:13

NFS服务器

2010-07-27 16:44:15

2010-08-04 09:39:09

2009-09-08 13:48:13

NFS服务器

2010-09-29 13:38:23

NFS服务器

2010-08-04 15:35:02

2009-09-01 10:38:13

NFS服务器

2010-08-04 11:04:48

UbuntuNFS服务器

2010-08-05 14:15:20

NFS服务器

2010-08-05 09:49:18

NFS服务器配置

2010-08-04 16:07:05

NFS服务器

2010-08-03 15:53:07

CentOSNFS服务器

2010-08-04 12:14:23

NFS服务器

2010-08-05 13:40:06

NFS服务器

2010-07-27 13:59:53

Linux NFS服务

2010-08-03 11:49:26

Ubuntu nfs服

2009-12-04 09:47:47

LinuxNFS服务器
点赞
收藏

51CTO技术栈公众号