亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
全部產品
您的位置: 網站首頁 > 幫助中心>文章內容

詳解配置策略 探究NFS服務器的安全問題

發(fā)布時間:  2012/6/6 20:17:32
 我們知道,網絡的發(fā)展離不開資源的共享。那么在這里面我們則是使用NFS協(xié)議來完成共享的。那么對NFS服務器的一些安全問題,我們則要時刻注意。NFS是網絡文件系統(tǒng)(Network File System)的簡稱,是分布式計算系統(tǒng)的一個組成部分,可實現(xiàn)在異種網絡上共享和裝配遠程文件系統(tǒng)。NFS由Sun公司開發(fā),目前已經成為文件服務的一種標準(RFC1904,RFC1813)。其最大的功能就是可讓不同操作系統(tǒng)的計算機共享數據,所以也可以將它看做是一個文件服務器。NFS提供了除SAMBA之外,Windows與Linux、Unix與Linux之間通信的方法。
  
    任何網絡服務器都會有安全問題,NFS也不例外。由于設計方面的因素,NFS服務器不可能絕對安全。一般來說,不應該將NFS服務器運行在比較敏感的系統(tǒng)或者只有一般防火墻的機器上,應該盡量將其置于防火墻之后。配置安全的NFS服務器,可以從限制RCP服務的訪問和控制文件系統(tǒng)的導出權限兩方面著手。
  
    NFS面臨的安全隱患
  
    因為NFS在網絡上明文傳輸所有信息,按照默認設置,NFS共享把根用戶改成用戶NFSnobody,它是一個不具備特權的用戶賬號。這樣,所有根用戶創(chuàng)建的文件都會被用戶NFSnobody所有,從而防止了設置setuid的程序被上傳到系統(tǒng)。如果使用了no_root_squash,遠程用戶就能夠改變共享文件系統(tǒng)上的任何文件,把設置了特洛伊木馬的程序留給其他用戶,在無意中執(zhí)行。
  
    NFS服務器安全策略
  
    (1)使用TCP_Wrappers
  
    portmap和rpc.NFSd結合起來,使NFS服務器上的文件即使沒有任何權限也能容易得到。可以使用訪問控制保障網絡安全,在使用NFS時最好結合TCP_Wrappers來限制使用范圍。
  
    (2)注意配置文件語法錯誤
  
    NFS服務器通過/etc/exports文件來決定要導出哪些文件系統(tǒng),以及把這些目錄導出到哪些主機上。編輯這個文件的時候要特別小心,不要添加額外的空格。
  
    例如:/etc/exports文件的以下行會使主機bob.example.com 能夠共享/tmp/NFS/目錄。
  
    /tmp/NFS/ bob.example.com(rw)
  
    但是 /etc/exports 文件中這一行的情況卻不同。它共享同一目錄,讓主機 bob.example.com 擁有只讀權限,卻給全局以讀寫權限。這全是由主機后面的一個空格造成的。
  
    /tmp/NFS/
  
    bob.example.com (rw)
  
    使用 showmount 命令來校驗哪些目錄被共享,從而檢查NFS共享配置是一個好習慣。showmount格式為:
  
    showmount -e
  
    (3)使用iptables防火墻
  
    因為NFS在網絡上明文傳輸所有信息,所以讓NFS服務器在防火墻后、在一個分段的安全網絡上運行就很重要。無論何時在不安全的網絡上傳遞NFS信息都有被截取的危險。從這個角度講,謹慎制定網絡計劃就有助于防御重要的安全破壞。限制RCP服務訪問的辦法一般是使用防火墻,除了TCP-Wrapper還有ipchians和iptalbes的防火墻。在全面使用Linux 2.4或更高版本內核的今天,了解iptables這種防火墻方法也就足夠了。 缺省的狀態(tài)下,portmap使用111端口,而NFS使用2049端口,可以通過iptables來限制對該端口的訪問:
  
    iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 111 -j DROP iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 2049 -j DROP iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip –dport 49 -j ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport 49 -j DROP
  
    (4)把開放目錄限制為只讀權限
  
    可以在/etc/exports文件中設定權限選項ro,通常需要把NFS服務器對客戶開放的任何目錄或文件系統(tǒng)設置為只讀訪問:
 
    /app devpc.nitec.com(ro)
  
    這樣,devpc.nitec.com網絡中的客戶只能對/app目錄進行只讀訪問。
  
    (5)禁止對某些目錄的訪問
  
    當開放一個完整的文件系統(tǒng)或者一個目錄時,缺省情況下它的子目錄會自動開放訪問權限。如果希望限制對其子目錄的訪問可以使用noaccess訪問選項,例如希望開放/pub目錄權限但是禁止訪問/pub/staff-only子目錄:
  
    /pub weblab-??.nitec.com (ro)
  
    /pub/staff-only weblab-??.nitec.com (noaccess)
  
    注意: “??”代表任意字符。
  
    (6)root squashing訪問問題
  
    按照默認設置,root用戶的用戶ID和組群ID都是0。root權限壓縮(Root squashing)把用戶ID0和組群ID0映射為匿名的用戶和組群ID,因此客戶上的根用戶就不會在NFS服務器上具備根特權。如果這個選項被選,root用戶就不會被映射為匿名用戶,客戶上的root用戶就會對導出的目錄擁有根特權。選擇這個選項會大大降低系統(tǒng)的安全性。除非絕對必要,請不要選擇它。為了明確執(zhí)行該規(guī)則,可以修改文件/etc/exports:
  
    /www www1.nitec.com(rw, root_squash)
  
    這樣如果客戶端的UID0(root)用戶想要訪問(讀、寫、刪除)一個NFS文件系統(tǒng),服務器端會用UID代替服務器的nobody賬戶。這樣客戶端的root用戶不能修改和訪問服務器端root用戶才能訪問和修改的文件。
  
    (7)使用nosuid和noexec選項
  
    SUID(Set User ID)或SGID(Set Group ID)程序可以讓普通用戶以超過自己權限的形式執(zhí)行。很多SUID/SGID可執(zhí)行程序是必須的,比如上面提到的passwd。SUID/SGID程序會被一些惡意的本地用戶利用,獲取本不應有的權限。運行以下命令可以找到所有具有這一屬性的程序:
  
    #find / ( -perm -4000 -o -perm -2000 )
 
   使用者必須查看這一列表,盡量減少那些所有者是root或是在root組中卻擁有SUID/SGID屬性的文件,刪除或對其屬性進行更改。使用nosuid選項禁止set-UID程序在 NFS服務器上運行,可以修改文件/etc/exports加入一行:
  
    /www www1.nitec.com(rw, root_squash, nosuid)
  
    上面的例子說明:/www目錄在www1.nitec.com上可以登錄,www1.nitec.com的用戶可以讀取/www中的文件和目錄,但是不能運行set- UID程序。
  
    /www www1.nitec.com(rw, root_squash, noexec)
  
    上面的例子說明/www目錄在www1.nitec.com上可以登錄,www1.nitec.com的用戶可以讀取/www中的文件和目錄,但是禁止所登錄文件系統(tǒng)中文件的執(zhí)行。
  
    NFS是非常重要的網絡協(xié)議,許多企業(yè)通過NFS協(xié)議共享硬盤和其它設備。把能登錄NFS目錄設置為只讀訪問、提高portmap服務的安全性、squashing root訪問、使用on set-UID 和non executable文件設置可以提高NFS服務器的安全。

本文出自:億恩科技【www.allwellnessguide.com】

服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經營性ICP/ISP證:贛B2-20080012
  • 服務器/云主機 24小時售后服務電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
  • 專注服務器托管17年
    掃掃關注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務熱線