這期內容當中小編將會給大家?guī)碛嘘P如何為NFS服務安全加固，文章內容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯公司長期為上千余家客戶提供的網站建設服務，團隊從業(yè)經驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯網生態(tài)環(huán)境。為鄭州企業(yè)提供專業(yè)的網站建設、網站設計，鄭州網站改版等技術服務。擁有10年豐富建站經驗和眾多成功案例,為您定制開發(fā)。

NFS（Network File System）是 FreeBSD 支持的一種文件系統，它允許網絡中的計算機之間通過 TCP/IP 網絡共享資源。不正確的配置和使用 NFS，會帶來安全問題。

概述

NFS 的不安全性，主要體現于以下 4 個方面:

• 缺少訪問控制機制

• 沒有真正的用戶驗證機制，只針對 RPC/Mount 請求進行過程驗證

• 較早版本的 NFS 可以使未授權用戶獲得有效的文件句柄

• 在 RPC 遠程調用中, SUID 程序具有超級用戶權限

配置共享目錄 /etc/exports

使用 anonuid，anongid 配置共享目錄，這樣可以使掛載到 NFS 服務器的客戶機僅具有最小權限。不要使用 no_root_squash。

使用網絡訪問控制

使用 安全組策略 或 iptable 防火墻限制能夠連接到 NFS 服務器的機器范圍。

賬號驗證

使用 Kerberos V5 作為登錄驗證系統，要求所有訪問人員使用賬號登錄，提高安全性。

選擇傳輸協議

對于不同的網絡情況，有針對地選擇 UDP 或 TCP 傳輸協議。傳輸協議可以自動選擇，也可以手動設置。

mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR

UDP 協議傳輸速度快，非連接傳輸時便捷，但其傳輸穩(wěn)定性不如 TCP，當網絡不穩(wěn)定或者黑客入侵時很容易使 NFS 性能大幅降低，甚至導致網絡癱瘓。一般情況下，使用 TCP 的 NFS 比較穩(wěn)定，使用 UDP 的 NFS 速度較快。

• 在機器較少，網絡狀況較好的情況下，使用 UDP 協議能帶來較好的性能。

• 當機器較多，網絡情況復雜時，推薦使用 TCP 協議（V2 只支持 UDP 協議）。

• 在局域網中使用 UDP 協議較好，因為局域網有比較穩(wěn)定的網絡保證，使用 UDP 可以帶來更好的性能。

• 在廣域網中推薦使用 TCP 協議，TCP 協議能讓 NFS 在復雜的網絡環(huán)境中保持最好的傳輸穩(wěn)定性。

限制客戶機數量

修改 /etc/hosts.allow 和 /etc /hosts.deny 來限制客戶機數量。

 /etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
 portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny

改變默認的 NFS 端口

NFS 默認使用的是 111 端口，使用 port 參數可以改變這個端口值。改變默認端口值能夠在一定程度上增強安全性。

配置 nosuid 和 noexec

SUID (Set User ID) 或 SGID (Set Group ID) 程序可以讓普通用戶以超過自己權限來執(zhí)行。很多 SUID/SGID 可執(zhí)行程序是必須的，但也可能被一些惡意的本地用戶利用，獲取本不應有的權限。

盡量減少所有者是 root，或是在 root 組中卻擁有 SUID/SGID 屬性的文件。您可以刪除這樣的文件或更改其屬性，如：

使用 nosuid 選項禁止 set-UID 程序在 NFS 服務器上運行，可以在 /etc/exports 加入一行：

/www www.abc.com(rw, root_squash, nosuid)

使用 noexec 禁止直接執(zhí)行其中的二進制文件。

上述就是小編為大家分享的如何為NFS服務安全加固了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注創(chuàng)新互聯-成都網站建設公司行業(yè)資訊頻道。

網站欄目：如何為NFS服務安全加固-創(chuàng)新互聯
轉載來于：http://www.2m8n56k.cn/article30/dccpso.html

成都網站建設公司_創(chuàng)新互聯，為您提供小程序開發(fā)、虛擬主機、微信小程序、品牌網站制作、網站營銷、全網營銷推廣

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：[email protected]。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯