Red Hat Training
A Red Hat training course is available for RHEL 8
9.3.2. 保护 NFS 客户端的挂载选项
您可以将以下选项传递给 mount 命令,以增加基于 NFS 的客户端的安全性:
- nosuid
-
使用
nosuid选项禁用set-user-identifier或set-group-identifier位。这样可防止远程用户通过运行setuid程序获得更高的特权,并可使用此选项与setuid选项相反。 - noexec
-
使用
noexec选项禁用客户端上的所有可执行文件。使用此选项可防止用户意外执行位于共享文件系统中的文件。 - nodev
-
使用
nodev选项防止客户端将设备文件作为硬件设备处理。 - resvport
-
使用
resvport选项将通信限制到保留端口,您可以使用特权源端口与服务器通信。保留的端口是为特权用户和进程保留的,如root用户。 - 秒
-
使用 NFS 服务器上的
sec选项,选择 RPCGSS security 类别来访问挂载点上的文件。有效的安全类别包括none,sys,krb5,krb5i, 和krb5p。
重要
krb5-libs 软件包提供的 MIT Kerberos 库不支持新部署中的数据加密标准(DES)算法。因为安全和兼容性的原因,在 Kerberos 库中默认禁用 DES。出于兼容性的原因,请使用更新、更安全的算法而不是 DES。
其他资源