Red Hat Training

A Red Hat training course is available for RHEL 8

11.3. 保护 NFS 服务

您可以使用 Kerberos 验证并加密所有文件系统操作来保护网络文件系统 4(NFSv4)。在将 NFSv4 与网络地址转换(NAT)或防火墙搭配使用时,您可以通过修改 /etc/default/nfs 文件来关闭委托。委托(Delegation)是服务器将文件管理委派给客户端的一种技术。相反,NFSv2 和 NFSv3 不使用 Kerberos 锁定和挂载文件。

NFS 服务在所有 NFS 版本中使用 TCP 发送流量。该服务支持 Kerberos 用户和组身份验证,作为 RPCSEC_GSS 内核模块的一部分。

NFS 允许远程主机通过网络挂载文件系统,并与这些文件系统进行交互,就像它们被挂载到本地一样。您可以在集中服务器中合并资源,并在共享文件系统时额外自定义 /etc/nfsmount.conf 文件中的 NFS 挂载选项。

11.3.1. 保护 NFS 服务器的导出选项

NFS 服务器决定有关将哪些文件系统导出到 /etc/exports 文件中的目录和主机的列表结构。

警告

导出文件语法中的额外空格可能会导致配置中的主要更改。

在以下示例中,/tmp/nfs/ 目录与 bob.example.com 主机共享,并且具有读取和写入权限。 

/tmp/nfs/     bob.example.com(rw)

以下示例与前一个相同,但对 bob.example.com 主机共享具有只读权限的相同的目录,由于主机名后面有一个空格字符,因此可以对 world 共享具有读写权限的目录。 

/tmp/nfs/     bob.example.com (rw)

您可以通过输入 showmount -e <hostname> 命令来检查系统中的共享目录。

/etc/exports 文件中使用以下导出选项:

警告

要导出整个文件系统,因为导出文件系统的子目录不安全。攻击者可能会访问部分导出的文件系统中的未导出部分。

ro
使用 ro 选项将 NFS 卷导出为只读模式。
rw

使用 rw 选项允许在 NFS 卷上读取和写入请求。请小心使用这个选项,因为允许写入访问会增加攻击的风险。

注意

如果您的场景需要使用 rw 选项挂载目录,请确保所有用户都无法写入以降低可能的风险。

root_squash
使用 root_squash 选项将来自 uid/gid 0 的请求映射到匿名 uid/gid。这不适用于其它可能比较敏感的 uidgid,如 bin 用户或 staff 组。
no_root_squash
使用 no_root_squash 选项关闭 root squashing。默认情况下,NFS 共享将 root 用户改为 nobody 用户,这是一个非特权用户帐户。这会将所有 root 创建的文件的所有者改为 nobody,这样可以防止上传设置了 setuid 位的程序。如果使用 no_root_squash 选项,则远程 root 用户可以更改共享文件系统上的任何文件,并将感染特洛伊木马的应用程序留给其他用户。
secure
使用 secure 选项将导出限制到保留的端口。默认情况下,服务器只允许客户端通信通过保留的端口。但是在网络上,任何人都可以容易地成为客户端上的 root 用户,因此,对于服务器来说,假设通过保留端口的通信都具有特权是不安全的。因此,对保留端口的限制具有有限的值;最好根据 Kerberos、防火墙和对特定客户端的导出限制来决定。

另外,在导出 NFS 服务器时请考虑以下最佳实践:

  • 导出主目录存在风险,因为某些应用以纯文本或弱加密格式存储密码。您可以通过检查并改进应用程序代码来降低风险。
  • 有些用户未对 SSH 密钥设置密码,这再次给主目录带来风险。您可以通过强制使用密码或使用 Kerberos 来降低这些风险。
  • 将 NFS 导出仅限制为所需的客户端。在 NFS 服务器上使用 showmount -e 命令来检查服务器正在导出什么。不要导出不需要的任何内容。
  • 不要允许不必要的用户登录到服务器,以减少攻击风险。您可以定期检查谁可以访问服务器,以及可以访问服务器的什么数据。

其他资源

11.3.2. 保护 NFS 客户端的挂载选项

您可以将以下选项传递给 mount 命令,以增加基于 NFS 的客户端的安全性:

nosuid
使用 nosuid 选项禁用 set-user-identifierset-group-identifier 位。这样可防止远程用户通过运行 setuid 程序获得更高的特权,并可使用此选项与 setuid 选项相反。
noexec
使用 noexec 选项禁用客户端上的所有可执行文件。使用此选项可防止用户意外执行位于共享文件系统中的文件。
nodev
使用 nodev 选项防止客户端将设备文件作为硬件设备处理。
resvport
使用 resvport 选项将通信限制到保留端口,您可以使用特权源端口与服务器通信。保留的端口是为特权用户和进程保留的,如 root 用户。
使用 NFS 服务器上的 sec 选项,选择 RPCGSS security 类别来访问挂载点上的文件。有效的安全类别包括 none, sys, krb5, krb5i, 和 krb5p
重要

krb5-libs 软件包提供的 MIT Kerberos 库不支持新部署中的数据加密标准(DES)算法。因为安全和兼容性的原因,在 Kerberos 库中默认禁用 DES。出于兼容性的原因,请使用更新、更安全的算法而不是 DES。

其他资源

11.3.3. 使用防火墙保护 NFS

要保护 NFS 服务器上的防火墙,请仅开放所需的端口。不要将 NFS 连接端口号用于任何其他服务。

前提条件

  • 已安装 nfs-utils 软件包。
  • firewalld 软件包已安装并运行。

流程

  • 在 NFSv4 上,防火墙必须打开 TCP 端口 2049

  • 在 NFSv3 上,使用 2049 打开四个额外端口:

    1. rpcbind 服务动态分配 NFS 端口,这可能会在创建防火墙规则时导致问题。要简化这个过程,使用 /etc/nfs.conf 文件指定要使用哪些端口:

      1. [mountd] 部分为 mountd (rpc.mountd) 设置 TCP 和 UDP 端口,格式为 port=<value>
      2. [statd] 部分为 statd (rpc.statd) 设置 TCP 和 UDP 端口,格式为 port=<value>

    2. /etc/nfs.conf 文件中为 NFS 锁定管理器(nlockmgr)设置 TCP 和 UDP 端口:

      1. [lockd] 部分为 nlockmgr (rpc.statd) 设置 TCP 端口,格式为 port=value。或者,也可以使用 /etc/modprobe.d/lockd.conf 文件中的 nlm_tcpport 选项。
      2. [lockd] 部分为 nlockmgr (rpc.statd) 设置 UDP 端口,格式为 udp-port=value。或者,您可以使用 /etc/modprobe.d/lockd.conf 文件中的 nlm_udpport 选项。

验证步骤

  • 列出 NFS 服务器中的活跃端口和 RPC 程序: 

    $ rpcinfo -p

其他资源