數(shù)據(jù)安全談：看 NFS網(wǎng)絡(luò)文件系統(tǒng)的安全

NFS是網(wǎng)絡(luò)文件系統(tǒng)（Network File System）的簡稱，是分布式計(jì)算系統(tǒng)的一個(gè)組成部分，可實(shí)現(xiàn)在異種網(wǎng)絡(luò)上共享和裝配遠(yuǎn)程文件系統(tǒng)。NFS由Sun公司開發(fā)，目前已經(jīng)成為文件服務(wù)的一種標(biāo)準(zhǔn)（RFC1904，RFC1813）。其最大的功能就是可讓不同操作系統(tǒng)的計(jì)算機(jī)共享數(shù)據(jù)，所以也可以將它看做是一個(gè)文件億恩科技服務(wù)器。NFS提供了除SAMBA之外，Windows與Linux、Unix與Linux之間通信的方法。

任何網(wǎng)絡(luò)億恩科技服務(wù)器都會(huì)有安全（服務(wù)器租用找：51033397）問題，NFS也不例外。由于設(shè)計(jì)方面的因素，NFS億恩科技服務(wù)器不可能絕對安全（服務(wù)器租用找：51033397）。一般來說，不應(yīng)該將NFS億恩科技服務(wù)器運(yùn)行在比較敏感的系統(tǒng)或者只有一般防火墻的機(jī)器上，應(yīng)該盡量將其置于防火墻之后。配置安全（服務(wù)器租用找：51033397）的NFS億恩科技服務(wù)器，可以從限制RCP服務(wù)的訪問和控制文件系統(tǒng)的導(dǎo)出權(quán)限兩方面著手。

NFS面臨的安全（服務(wù)器租用找：51033397）隱患

因?yàn)镹FS在網(wǎng)絡(luò)上明文傳輸所有信息，按照默認(rèn)設(shè)置，NFS共享把根用戶改成用戶nfsnobody，它是一個(gè)不具備特權(quán)的用戶賬號。這樣，所有根用戶創(chuàng)建的文件都會(huì)被用戶nfsnobody所有，從而防止了設(shè)置setuid的程序被上傳到系統(tǒng)。如果使用了no_root_squash，遠(yuǎn)程用戶就能夠改變共享文件系統(tǒng)上的任何文件，把設(shè)置了特洛伊木馬的程序留給其他用戶，在無意中執(zhí)行。

NFS億恩科技服務(wù)器安全（服務(wù)器租用找：51033397）策略

（1）使用TCP_Wrappers

portmap和rpc.nfsd結(jié)合起來，使NFS億恩科技服務(wù)器上的文件即使沒有任何權(quán)限也能容易得到�？梢允褂迷L問控制保障網(wǎng)絡(luò)安全（服務(wù)器租用找：51033397），在使用NFS時(shí)最好結(jié)合TCP_Wrappers來限制使用范圍。

（2）注意配置文件語法錯(cuò)誤

NFS億恩科技服務(wù)器通過/etc/exports文件來決定要導(dǎo)出哪些文件系統(tǒng)，以及把這些目錄導(dǎo)出到哪些億恩科技主機(jī)上。編輯這個(gè)文件的時(shí)候要特別小心，不要添加額外的空格。

例如：/etc/exports文件的以下行會(huì)使億恩科技主機(jī)bob.example.com 能夠共享/tmp/nfs/目錄。

/tmp/nfs/ bob.example.com(rw)

但是 /etc/exports 文件中這一行的情況卻不同。它共享同一目錄，讓億恩科技主機(jī) bob.example.com 擁有只讀權(quán)限，卻給全局以讀寫權(quán)限。這全是由億恩科技主機(jī)后面的一個(gè)空格造成的。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]