Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3.7.2. NFS マウントオプションのセキュア化

etc/fstabファイルでのmountコマンドの使用については、Red Hat Enterprise Linux 7 ストレージ管理ガイドストレージ管理ガイドのUsing the mount Commandの章で説明しています。セキュリティ管理の観点からは、NFSマウントオプションを/etc/nfsmount.confで指定することもでき、カスタムのデフォルトオプションを設定することも可能であることに留意する必要があります。
4.3.7.2.1. NFS サーバーのレビュー
警告
ファイルシステム全体のみをエクスポートします。ファイルシステムのサブディレクトリーのエクスポートは、セキュリティーの問題である可能性があります。場合によっては、クライアントがファイルシステムのエクスポートされた部分から「脱走」して、エクスポートされていない部分に到達することも可能です(exports(5)のmanページにあるサブツリーのチェックに関するセクションを参照)。
roオプションを使用して、可能な限りファイルシステムをリードオンリーでエクスポートし、マウントされたファイルシステムに書き込めるユーザーの数を減らします。 rwオプションは特に必要な場合のみ使用してください。詳細は、manexports(5)のページを参照してください。書き込みアクセスが許可されると、シンボリックリンク攻撃のリスクが高まります。これには、/tmp/usr/tmpなどの一時的なディレクトリも含まれます。
ディレクトリをrwオプションでマウントする必要がある場合、リスクを減らすために可能な限りワールドライタブルにしないようにしてください。ホームディレクトリーのエクスポートは、クリアテキストでパスワードを保存する、または弱い暗号化でパスワードを保存するため、リスクとして見えます。アプリケーションコードのレビューおよび改善により、このリスクが軽減されます。SSH 鍵にパスワードを設定していないユーザーも、ホームディレクトリーのリスクが発生することを意味します。パスワードの使用を強制したり Kerberos を使用して強制すると、そのリスクが軽減されます。
エクスポートはアクセスを必要とするクライアントのみとしてください。NFSサーバーのshowmount -eコマンドを使用して、サーバーがエクスポートしている内容を確認します。特に必要のないものをエクスポートしないでください。
no_root_squashオプションを使用しないでください。また、既存のインストールを確認して、このオプションが使用されていないことを確認してください。詳細は、「no_root_squash オプションは使用しないでください。」 を参照してください。
secureオプションは、予約済みのポートへのエクスポートを制限するために使用されるサーバー側のエクスポートオプションです。デフォルトでは、サーバは予約済みのポート(1024以下の番号のポート)からのクライアントの通信のみを許可します。これは、従来、クライアントは信頼できるコード(インカーネルのNFSクライアントなど)にのみ、これらのポートの使用を許可していたためです。ただし、多くのネットワークでは一部のクライアントで root になるのは困難なため、予約ポートからの通信が権限を必要とすると想定することはほとんどありません。したがって、予約ポートに制限があるのは限定されています。特定のクライアントへのエクスポート、ファイアウォール、および制限に依存することが推奨されます。
ほとんどのクライアントは、可能な場合は予約ポートを使用します。ただし、予約ポートは制限されたリソースであるため、クライアント(特に多数の NFS マウントがある)も高いポートの使用を選択できます。Linuxクライアントは、noresvportマウントオプションを使用してこれを行うことができます。エクスポート時にこれを許可したい場合は、Insecureエクスポートオプションで許可することができます。
ユーザーがサーバーへのログインを許可しないことが推奨されます。NFS サーバーで上記の設定を確認すると、誰とサーバーにアクセスできるかを確認します。