探究NFS服务器的安全问题

2023-04-01 05:24:18
来源：本站整理
在手机上看

扫一扫立即进入手机端

　　我们知道，网络的发展离不开资源的共享。那么在这里面我们则是使用NFS协议来完成共享的。那么对NFS服务器的一些安全问题，我们则要时刻注意。NFS是网络文件系统（Network File System）的简称，是分布式计算系统的一个组成部分，可实现在异种网络上共享和装配远程文件系统。NFS由Sun公司开发，目前已经成为文件服务的一种标准（RFC1904，RFC1813）。其最大的功能就是可让不同操作系统的计算机共享数据，所以也可以将它看做是一个文件服务器。NFS提供了除SAMBA之外，Windows与Linux、Unix与Linux之间通信的方法。

　　任何网络服务器都会有安全问题，NFS也不例外。由于设计方面的因素，NFS服务器不可能绝对安全。一般来说，不应该将NFS服务器运行在比较敏感的系统或者只有一般防火墙的机器上，应该尽量将其置于防火墙之后。配置安全的NFS服务器，可以从限制RCP服务的访问和控制文件系统的导出权限两方面着手。

　　NFS面临的安全隐患

　　因为NFS在网络上明文传输所有信息，按照默认设置，NFS共享把根用户改成用户nfsnobody，它是一个不具备特权的用户账号。这样，所有根用户创建的文件都会被用户nfsnobody所有，从而防止了设置setuid的程序被上传到系统。如果使用了no_root_squash，远程用户就能够改变共享文件系统上的任何文件，把设置了特洛伊木马的程序留给其他用户，在无意中执行。

　　NFS服务器安全策略

　　（1）使用TCP_Wrappers

　　portmap和rpc.nfsd结合起来，使NFS服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全，在使用NFS时最好结合TCP_Wrappers来限制使用范围。

　　（2）注意配置文件语法错误

　　NFS服务器通过/etc/exports文件来决定要导出哪些文件系统，以及把这些目录导出到哪些主机上。编辑这个文件的时候要特别小心，不要添加额外的空格。

　　例如：/etc/exports文件的以下行会使主机bob.example.com 能够共享/tmp/nfs/目录。

　　/tmp/nfs/ bob.example.com(rw)

　　但是 /etc/exports 文件中这一行的情况却不同。它共享同一目录，让主机 bob.example.com 拥有只读权限，却给全局以读写权限。这全是由主机后面的一个空格造成的。

　　/tmp/nfs/

　　bob.example.com (rw)

　　使用 showmount 命令来校验哪些目录被共享，从而检查NFS共享配置是一个好习惯。showmount格式为：

　　showmount -e

　　（3）使用iptables防火墙

　　因为NFS在网络上明文传输所有信息，所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。无论何时在不安全的网络上传递NFS信息都有被截取的危险。从这个角度讲，谨慎制定网络计划就有助于防御重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙，除了TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用Linux 2.4或更高版本内核的今天，了解iptables这种防火墙方法也就足够了。缺省的状态下，portmap使用111端口，而NFS使用2049端口，可以通过iptables来限制对该端口的访问：

　　iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 111 -j DROP iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 2049 -j DROP iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip –dport \2049 -j ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport \2049 -j DROP

　　（4）把开放目录限制为只读权限

　　可以在/etc/exports文件中设定权限选项ro，通常需要把NFS服务器对客户开放的任何目录或文件系统设置为只读访问：

　　/app devpc.nitec.com(ro)

　　这样，devpc.nitec.com网络中的客户只能对/app目录进行只读访问。

　　（5）禁止对某些目录的访问

　　当开放一个完整的文件系统或者一个目录时，缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项，例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录：

　　/pub weblab-??.nitec.com (ro)

　　/pub/staff-only weblab-??.nitec.com (noaccess)

　　注意： “？？“代表任意字符。

　　（6）root squashing访问问题

　　按照默认设置，root用户的用户ID和组群ID都是0。root权限压缩（Root squashing）把用户ID0和组群ID0映射为匿名的用户和组群ID，因此客户上的根用户就不会在NFS服务器上具备根特权。如果这个选项被选，root用户就不会被映射为匿名用户，客户上的root用户就会对导出的目录拥有根特权。选择这个选项会大大降低系统的安全性。除非绝对必要，请不要选择它。为了明确执行该规则，可以修改文件/etc/exports：

　　/www www1.nitec.com(rw, root_squash)

　　这样如果客户端的UID0（root）用户想要访问（读、写、删除）一个NFS文件系统，服务器端会用UID代替服务器的nobody账户。这样客户端的root用户不能修改和访问服务器端root用户才能访问和修改的文件。

　　（7）使用nosuid和noexec选项

　　SUID（Set User ID）或SGID（Set Group ID）程序可以让普通用户以超过自己权限的形式执行。很多SUID/SGID可执行程序是必须的，比如上面提到的passwd。SUID/SGID程序会被一些恶意的本地用户利用，获取本不应有的权限。运行以下命令可以找到所有具有这一属性的程序：

　　#find / \( -perm -4000 -o -perm -2000 \)

　　使用者必须查看这一列表，尽量减少那些所有者是root或是在root组中却拥有SUID/SGID属性的文件，删除或对其属性进行更改。使用nosuid选项禁止set-UID程序在 NFS服务器上运行，可以修改文件/etc/exports加入一行：

　　/www www1.nitec.com(rw, root_squash, nosuid)

　　上面的例子说明：/www目录在www1.nitec.com上可以登录，www1.nitec.com的用户可以读取/www中的文件和目录，但是不能运行set- UID程序。

　　/www www1.nitec.com(rw, root_squash, noexec)

　　上面的例子说明/www目录在www1.nitec.com上可以登录，www1.nitec.com的用户可以读取/www中的文件和目录，但是禁止所登录文件系统中文件的执行。

　　NFS是非常重要的网络协议，许多企业通过NFS协议共享硬盘和其它设备。把能登录NFS目录设置为只读访问、提高portmap服务的安全性、squashing root访问、使用on set-UID 和non executable文件设置可以提高NFS服务器的安全。

游戏推荐

fifa19怎么联网(fifa19怎么连接服务器) ps4使命召唤战争地带连接不上服务器(使命召唤战争地带ps5) dayz服务器low是多少人(dayz官方服务器哪个好哪个人多?) valheim英灵神殿怎么创建服务器(valheim英灵神殿房屋搭建) apex哪个服务器(apex哪个服务器菜鸟多) csgo怎么调整服务器(csgo怎么调整服务器人数) csgo社区服怎么进网页(csgo社区服务器怎么进去) steam泰拉瑞亚怎么联机加不进去(steam泰拉瑞亚连接不进好友的服务器) apex英雄怎么换服(apex英雄换服务器) steam星球大战战机中队进不去(星球大战战机中队无法连接服务器) 《黎明杀机》迈叔永二玩法初步探究答案(黎明杀机迈叔永三) apex哪个节点人多(apex现在哪个服务器人多) 《无主之地2》打孔机制探究攻略(《无主之地2》打孔机制探究攻略) f1无法连接服务器(f12020无法连接服务器) gmod僵尸感染mod(gmod僵尸感染服务器) ns暗黑三赛季连不上服务器(switch暗黑3连不上赛季) ps4全境封锁2连不上服务器mike-01(ps4全境封锁2连接不上服务器) 《和平精英》黄金岛怎么撤离队友(和平精英黄金岛如何安全撤离) 《江苏政务服务》个人档案怎么查到(江苏政务服务可以查询自己社保吗) lol手游登陆提示谷歌服务(lol手游谷歌登录出现) csgo服务器指令大全(csgo服务器指令大全手机版) f1连不上服务器(f1mobile连接不上服务器) csgo安全锁区(csgo锁区排位) 《异化之地》这款游戏怎么样,好玩吗安全吗(《异化之地》这款游戏怎么样,好玩吗安全吗知乎) csgo修改服务器为128tick(csgo怎么把服务器改成128tick) 《漫威复仇者联盟》匹配系统解析错误(steam漫威复仇者联盟无法连接服务器) apex连接ea服务器失败(apex连接不了ea服务器) csgo服务器列表指令(csgo服务器指令代码大全) lol手游显示服务器尚未开启是什么意思(英雄联盟手游服务区未开启) 《梦想新大陆》充值会删除吗安全吗(梦想新大陆氪金吗?) 66游戏交易平台官网(66游戏网安全吗) apex英雄无法连接到ea服务器(apex英雄显示无法连接ea服务器) csgo安全处所房顶怎么上(csgo安全处所收藏品怎么得) 《英雄联盟手游》绑定端游账号安全吗(英雄联盟手游绑定端游账号有什么好处) csgo服务器设置参数(csgo服务器设置参数大全) 《lol手游》服务器瘫痪是怎么回事(英雄联盟手游服务器暂时不可用) dayz服务器是什么意思(dayz服务器列表) apex服务器gce(Apex服务器连接超时wheel) epic无主之地3连不上网(epic无主之地3连不上服务器) dayz服务器指令(dayz服务器参数设置) ubisoft服务目前不可用怎么办(ubi服务目前无法使用) 《和平精英》安全警告是什么软件(和平精英无缘无故出现安全警告) 2k19为什么连接不上服务器(2k19突然连不上服务器) csgo安全处所收藏品有什么(csgo安全交易平台) dayz服务器名称含义(dayz服务端) cod战区怎么关闭体积雾(cod战区怎么关闭安全模式) csgo怎么调整服务器(csgo服务器选择界面) apex澳洲服务器(apex欧洲服务器) switch暗黑破坏神3匹配不到人(switch暗黑破坏神3连不上服务器) 暗黑破坏神2重制版服务器互通(暗黑破坏神2重制版与游戏服务器交换数据) steam泰拉瑞亚发现服务器不动了(steam泰拉瑞亚开服卡在发现服务器怎么办) f1无法连接服务器(f12019连不上服务器) 矮人要塞怎么设置紧急安全区域(矮人要塞怎么设置紧急安全区域) csgo安全处所房顶怎么上(csgo安全模式) 《江苏政务服务》个人档案怎么查到(江苏政务服务个人中心在哪里找?) apex英雄怎么改服务器(apex换号设置) 暗区突围安全绳(暗区突围安全绳在哪刷) apex英雄如何切换服务器(apex怎么切服务器) steam无法更新游戏(steam无法更新游戏无法连接到内容服务器) 安全运输规定(安全运输规定有哪些) valheim怎么加入游戏(valheim怎么开服务器) 应该如何处理TMP格式文件保证系统安全汽车服务app csgo连接任意官方服务器失败怎么办_csgo连接官方服务器失败解决方法数据中心虚拟化安全确保数据中心虚拟化安全10个步骤 Linux服务优化 Linux服务优化详解贝贝消防安全知识大全app下载贝贝消防安全知识大全火绒安全软件火绒安全软件怎么拦截广告-火绒设置广告拦截的方法 Tomcat服务器重启Tomcat服务器用netstat命令化身Windows7安全高手安全保证Linux系统安全应用的六大因素使Web服务器远离脚本攻击网络安全知识:独门秘籍阻止网络病毒的自动执行用Win2008Server防火墙确保系统安全无线网络安全如何保护无线网络安全连接 Linux服务器的参数配置优化技巧服务器 windows服务器详细安全设置从异常系统进程检查企业网络安全如何配置一台Linux系统时间服务器 Linux服务器生活服务平台 DHCP服务的安装和停止四种方案全面保护你的视频安全 Cisco路由器安全配置必用的10条命令舒华服务(售后服务管理)下载安全上网之“防毒八法” 查博士二手车服务下载教给你Windows安全模式的五项重要用途