Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3.7.2.2. NFS クライアントのレビュー

nosuidオプションを使用して、setuidプログラムの使用を禁止します。 nosuidオプションは、set-user-identifierまたはset-group-identifierビットを無効にします。これにより、リモートユーザーは、setuid プログラムを実行してより高い権限を取得できなくなります。クライアントとサーバー側でこのオプションを使用します。
noexecオプションは、クライアント上のすべての実行可能なファイルを無効にします。このファイルを使用して、ユーザーがファイルシステムを共有しているファイルを実行しないようにします。 nosuidオプションとnoexecオプションは、すべてではないにしろ、ほとんどのファイルシステムの標準オプションです。
nodevオプションを使用して、device-filesがクライアントでハードウェアデバイスとして処理されないようにします。
resvportオプションはクライアント側のマウントオプションで、secureはそれに対応するサーバー側のエクスポートオプションです(上記の説明を参照)。これは、通信を "reserved port" に制限します。予約または「well known」ポートは、root ユーザーなどの特権ユーザーとプロセス用に予約されています。このオプションを設定すると、クライアントは予約ソースポートを使用してサーバーと通信します。
すべてのバージョンの NFS が、Kerberos 認証を使用したマウントをサポートするようになりました。これを有効にするためのマウントオプションは、sec=krb5です。
NFSv4では、整合性にkrb5i、プライバシー保護にkrb5pを用いたKerberosによるマウントをサポートしています。これらは、sec=krb5でマウントする際に使用されますが、NFSサーバーで設定する必要があります。詳しくは、exportsのmanページ(man 5 exports)を参照してください。。
NFSのマニュアルページ(man 5 nfs)には、「SECURITY CONSIDERATIONS」というセクションがあり、NFSv4で強化されたセキュリティについて説明されているほか、NFS特有のマウントオプションがすべて含まれています。
重要
krb5-libsパッケージで提供されているMIT Kerberosライブラリは、新規導入時にDES(Data Encryption Standard)アルゴリズムの使用をサポートしていません。セキュリティー上、および特定の互換性上の理由から、DES は非推奨となり、Kerberos ライブラリーではデフォルトで無効になります。お使いの環境が新しいアルゴリズムとより安全なアルゴリズムに対応していない場合は、互換性の理由で、DES を使用してください。