9.8.2. AUTH_GSS による NFS の保護

NFSv4 のリリースにより、RPCSEC_GSS および Kerberos バージョン 5 の GSS-API メカニズムの実装が義務付けられ、NFS セキュリティーに大きな変革がもたらされました。ただし、RPCSEC_GSS や Kerberos のメカニズムは NFS のいずれのバージョンでも利用可能です。
RPCSEC_GSS Kerberos メカニズムでは、AUTH_SYS の場合のようにファイルにアクセスしているユーザーを正確に表すためにサーバーがクライアントに依存するということがなくなります。代わりに暗号を使ってサーバーに対するユーザーの認証を行うため、悪意あるクライアントは kerberos 情報なしではなりすまし攻撃ができなくなります。

注記

NFSv4 サーバーの設定を行う前に、Kerberos チケットを発行するサーバー (KDC) が適切にインストールされ、設定されていることが前提となります。Kerberos は、対称暗号化および信頼できるサードパーティーの KDC を使用してクライアントとサーバーを相互に認証させることができるネットワーク認証システムになります。Kerberos についてさらに詳しくは、Red Hat の『Identity Management Guide』 を参照してください。
RPCSEC_GSS のセットアップを行うには、次の手順を実行します。

手順9.4 RPCSEC_GSS のセットアップ

  1. nfs/client.mydomain@MYREALM プリンシパルと nfs/server.mydomain@MYREALM プリンシパルを作成します。
  2. クライアントとサーバーの各キータブに該当のキーを追加します。
  3. サーバー側で sec=krb5,krb5i,krb5p をエクスポートに追加します。継続して AUTH_SYS を許可する場合は、sec=sys,krb5,krb5i,krb5p を代わりに追加します。
  4. クライアント側で sec=krb5 (セットアップによっては sec=krb5i または sec=krb5p) をマウントポイントに追加します。
krb5krb5ikrb5p のそれぞれの違いなどの詳細については、exports および nfs の各 man ページを参照していただくか、または「一般的な NFS マウントオプション」をご覧ください。
rpc.svcgssdrpc.gssd を同時に使用する方法などの RPCSEC_GSS フレームワークの詳細については、http://www.citi.umich.edu/projects/nfsv4/gssd/ を参照してください。

9.8.2.1. NFSv4 による NFS の保護

NFSv4 には、旧式の機能や幅広い導入の経緯があるために、POSIX モデルではなく Microsoft Windows NT モデルをベースとした ACL サポートが含まれます。
NFSv4 のもう 1 つの重要なセキュリティー上の特長として、ファイルシステムをマウントする際に MOUNT プロトコルを使用する必要がなくなったという点があります。この MOUNT プロトコルには、ファイル処理の方法にセキュリティー上の欠点がある可能性のあることが指摘されています。