Linux下的NFS快速配置教程與安全策略

1、1、nfs原理nfs比較復(fù)雜，包括很多組件，通過特殊的協(xié)議進行交互。不同的紐件在操作系統(tǒng)當(dāng)中都使用不同的 配置文件以及狀態(tài)文件。下圖說明了 nfs的主要組件及配置文件。s t xtdlmountd rquot.dserveriecc/expcrtslocm qciodht5扳務(wù)器rpcmttrrtclockd rpciodkfsgpmcli enttxtd/elc/fst ab圖網(wǎng)絡(luò)文件系統(tǒng)原理示意圖nfs分為服務(wù)器和客戶機兩部分，每個主機都有自己的內(nèi)核級服務(wù)：外部數(shù)據(jù)表示(xdr, external data representation)>遠(yuǎn)程過程調(diào)川(rpc, remote pro

2、cedure call)> i/o監(jiān)控程序和鎖監(jiān)控程序。每個主機還有 (=己的用戶級服務(wù)。內(nèi)核級服務(wù)和用戶級服務(wù)都依賴于主機的功能:nfs客戶機或者是nfs服務(wù)器。當(dāng)然， 還要依賴丁每個主機使川的不同功能的配置文件(如果是服務(wù)器，則川的是/ctc/cxports配置文件，如果是 客戶機，則用的是/etc/fstab配置文件)。如果一臺主機既是服務(wù)器乂是客戶機，那么它需要運行兩個部分 的服務(wù)。在服務(wù)器端，portmap> mountd> nfsd三個監(jiān)控程序?qū)⒃诤笈_運行。portmap監(jiān)控程序用來注冊基于 rpc的服務(wù)。當(dāng)一個rpc的監(jiān)控程序啟動的時候，它告訴portmap監(jiān)控

3、程序它在哪一個端口進行偵聽，并 且它在進行什么樣的rpc服務(wù)。當(dāng)一個客戶機向服務(wù)器提出一個rpc請求，那么它就會和portmap監(jiān)控程 序取得聯(lián)系以確定rpc消息應(yīng)該發(fā)往的端口廿。而mountd監(jiān)控程用的功能是來讀取服務(wù)器端的/etc/exportfs 文件并h創(chuàng)建一個將服務(wù)器的本地文件系統(tǒng)導(dǎo)出的丄機和網(wǎng)絡(luò)列表，因而客戶機的掛接(mount)請求都被定 位到moumd監(jiān)控程序(daemon)o當(dāng)驗證了服務(wù)器確實具有掛接所請求的文件系統(tǒng)的權(quán)限以后，mountd為 請求的掛接點返回一個文件句柄。而nfsd臨控程序則被服務(wù)器川來處理客戶機端發(fā)過來的請求，由丁-服務(wù) 器需要同時處理多個客戶機的請求，所

4、以在缺省情況下，在linux當(dāng)中將會自動啟動八個nfsd線程。當(dāng)然， 如果nfs服務(wù)器特別忙的時候，系統(tǒng)有可能根據(jù)實際情況啟動三十個線程。2、nfs安裝在網(wǎng)絡(luò)環(huán)境 使用yum安裝nfs的命令如卜 1#yum -y install nfs3、nfs配置和使用在安裝好nfs后，需要對其進行配置才能正常使用，主要包括服務(wù)器配置和客戶機配習(xí)兩個步驟，下 而詳細(xì)對它們加以說明。服務(wù)器配置編w/etc/exports,在文件中列出，要共享的目錄。書寫規(guī)則是：共享目錄主機(參數(shù))。并且每條規(guī)則占 據(jù)一行。例如：/mnt/mp3 192 168 10 168(ro,sync, no_root_squash)上

5、面的規(guī)則代農(nóng)將/mnt/mp3目錄以讀寫同步方式共亨給主機i92.168.10.168。如果登陸到nfs主機的 用戶是roo，那么該用戶就具有nfs主機的root用戶的權(quán)限。具體的可選參數(shù)如下所示：1. rw：可讀寫的權(quán)限2. ro：只讀的權(quán)限3. no_root_squash：登入到nfs主機的用戶如果是root用戶，他就擁有root的權(quán)限4. root_squash：在登入nfs主機使川目錄的使川者如果是root時，那么這個使用者的權(quán)限將被壓縮成為匿 名使用者，通常他的uid與gid都會變成nobody那個身份5. all_squash：不管登陸nfs主機的用戶是什么都會被重新設(shè)定為nob

6、ody6. anonuid：將登入nfs主機的用八都設(shè)定成指定的userid,此id必須存在于/etc/passwd中7. anongid:同 anonuid,但是變成 groupid 就是了& sync資料同步寫入存儲器中9. async：資料會先暫時存放在內(nèi)存中，不會直接寫入硬盤10. insecure允許從這臺機器過來的非授權(quán)訪問客戶機配置客戶機配置相對簡單，只需要使用下述命令mount nfs文件系統(tǒng)即可：#mount -t nfs 192 168.10.168:/home /mnt/mp3上述命令將遠(yuǎn)程的共亨h錄掛接到木地的/home目錄下，用戶口j以直接對該目錄進行操作，從

7、而獲取 遠(yuǎn)程的共享資源。啟動nfs服務(wù)#service portmap start# service nfs start下面通過一個具體的例子來介紹nfs的安全性配置。假設(shè)在某個網(wǎng)站上有某個h錄名為/popgame目錄 可以開放給nfs客戶機來進行下載共享等工作，而這臺服務(wù)器的ip地址為：202.168.10.8,它可以開放h 錄給的主機的ip地址為202.168.10.10. 202.168.10.13 (當(dāng)然可以提供給更多的服務(wù)器,而且他們的ip地址 也可以各式各樣，現(xiàn)在舉的例f有點像局域網(wǎng)中的情況，不過原理相同)。那么我們首先就船要對服務(wù)器 端的/etc/exports文件進行編寫：我們

8、先進入目錄/etc,然后vi exports,那么就會進入到該文件的編輯界面，我們輸入如下的內(nèi)容：/popgame 202.168.10.10 (ro) 202.168.10.13(ro)我們可以清楚的看到，目錄/popgame只能導(dǎo)出到ip地址為上述的客戶機上，而且他們的權(quán)限也只能是 只讀，因為他們只是需要簡單的共享下載游戲的功能，并不需要具備創(chuàng)建目錄、修改文件的功能，而幾如 果提供了的話，那將會出現(xiàn)安全隱患。下面接著配置客戶機的/ctc/fstab文件，進入該文件你將需要加入如 下的內(nèi)容，原文件上已經(jīng)有的內(nèi)容不要隨意更改，否則會影響系統(tǒng)配置，影響文件系統(tǒng)：202.168.10.8: /po

9、pgame /mnt/game nfs ro 0 0其中的/mnt/game目錄是你要將服務(wù)器上的/popgame h錄掛接到你的客戶機上的木地h錄,也就是說， 當(dāng)共享了 nfs文件系統(tǒng)以后，你可以通過訪問本地h錄/mnt/game來訪問共享的文件。因為現(xiàn)在有兩臺客 戶機，所以每一臺上都耍如上配置。配置完成以后，就需要在客戶機上將服務(wù)器的nfs掛接到本地客戶機上了，命令如下所示：mount -t nfs 202.168.108: /popgame /mnt/game特別需要注意的是：在執(zhí)行命令z前，你必須先要關(guān)掉本地客戸機上的防火墻，否則也不會掛接成功。 原因是防火墻將會阻礙遠(yuǎn)程過程調(diào)用?，F(xiàn)在

10、你就可以放心的使用遠(yuǎn)程的網(wǎng)絡(luò)資源了。最后，我們介紹一下使用中需要注意的安全問題。4、使用中需要注意的安全問題通常來說，我們要保護好nfs,首先就要關(guān)閉最大的漏洞。在操作系統(tǒng)當(dāng)中，當(dāng)系統(tǒng)啟動的時候，將 會有很多的后臺系統(tǒng)服務(wù)程序在運行，而h有些端口是缺省打開的。如果不對這種情況進行處理的話，一 方面會不必要的消耗大量系統(tǒng)資源，另一方面則會給我們的系統(tǒng)帶來安全隱患。因此，我們要保護nfs, 必須解決好如下問題：要考慮好總體的安全，拒絕所有的訪問，只有在需要的時候才提供訪問。也就是說，不要把nfs導(dǎo) 出到任何卞機，而只應(yīng)該將它導(dǎo)出到所腑要的卞機，尤其是避免將文件系統(tǒng)導(dǎo)出到不信任的卞機。并且要 盡量使

11、用只讀(ro)權(quán)限導(dǎo)出文件系統(tǒng),盡量不要使用(rw)或者是(no_root_squash)權(quán)限;不要捉供太多的根用戶賬號。特別要注意保證任何用戶都沒冇nfs客戶機的根用戶賬號，因為如果 具有的話，那么該客戶機將會具有域高的權(quán)限，將會引起很大的安全問題，它可以修改任何它想修改的東 西，這顯然是不安全的。而且應(yīng)該在nfs服務(wù)器上使用(root_squash)和(ro)選項；盡量使川限制性的nfs客戶機方掛接選項，川只讀(ro)選項掛接文件系統(tǒng)，除非確實有必要，要不 然不要允許設(shè)置uid二進制文件(nosuid)、設(shè)備(nodev)和執(zhí)行文件(noexec)。要嚴(yán)格地控制好導(dǎo)出的冃錄文件。這主耍包括

12、導(dǎo)出的數(shù)量以及導(dǎo)出的安全選項。導(dǎo)出的數(shù)彊依據(jù)實 際情況而定，避免到處過多的和不必要的選項。另外，要嚴(yán)格地控制好導(dǎo)出的安全選項，安全選項就是上 而所描述的只讀(。)、可寫(nv)、根用戶擠壓got_sqiiash)等選項，這樣做就可以使得每個冃錄都有各自的 訪問權(quán)限，而通常情況下這樣也是很介理的，因為所冇要導(dǎo)出的目錄訪問權(quán)限都是一樣的，這幾乎是不町 能的。比如說，現(xiàn)在nfs服務(wù)器上冇三個目錄需耍導(dǎo)出，一個是/popmusic» 一個是/doc,而一個是/digest。 這三個目錄當(dāng)中，第一個目錄和第三個目錄不但允許客戶機共享，而h允許客戶機上載自己的文件，但是 第二個只允許讀取，這樣第一個和第三個目錄的訪問權(quán)限就要設(shè)為rw,而第二個則只能設(shè)為ro。在導(dǎo)出的文件系統(tǒng)下的目錄的設(shè)置過程當(dāng)中應(yīng)當(dāng)耍注盤一些控制的問題。通常情況下，應(yīng)該耍將訪 問權(quán)限一致的目錄和文件作為父目錄、子目錄，而訪問權(quán)限不一致的就另開一個目錄進行導(dǎo)出，這實際上 就是一個管理的粒度問題。舉個例子，現(xiàn)有四個目錄要進行導(dǎo)出，它們依次是/direct 1、/direcl2 >/direct3、 /dircct4。其中前兩個目錄的訪問權(quán)限是只讀，而后面兩個是可讀寫，那么，我們在導(dǎo)出的時候