Menu Close
Settings Close

Language and Page Formatting Options

第 6 章 保护 NFS

为最大程度地降低 NFS 安全风险并保护服务器上的数据,在服务器上导出 NFS 文件系统或将其挂载到客户端上时,请考虑以下部分:

6.1. 带有 AUTH_SYS 和导出控制的 NFS 安全性

NFS 提供以下传统选项来控制对导出文件的访问:

  • 服务器限制哪些主机可以通过 IP 地址或主机名挂载哪些文件系统。
  • 服务器对 NFS 客户端上的用户强制执行文件系统权限的方式与对本地用户强制执行权限的方式相同。传统上,NFS 使用 AUTH_SYS 调用消息(也称为 AUTH_UNIX)来执行此操作,该消息依赖于客户端来声明用户的 UID 和 GID。请注意,这意味着恶意或者错误配置的客户端可能会轻松地利用这个问题,导致用户可以访问不应该被访问的文件。

为限制潜在的风险,管理员通常将访问权限限制为只读或将用户权限挤压成普通用户和组 ID。不幸的是,这些解决方案会阻止 NFS 共享以最初预期的方式使用。

另外,如果攻击者获得了对导出 NFS 文件系统的系统所使用的 DNS 服务器的控制,它们可将与特定主机名或完全限定域名关联的系统指向未授权的机器。此时,未经授权的机器 允许挂载 NFS 共享的系统,因为没有交换用户名或密码信息来为 NFS 挂载提供额外的安全。

在通过 NFS 导出目录时应谨慎使用通配符,因为通配符的范围可能包含比预期更多的系统。

其它资源

  • 要保护 NFS 和 rpcbind,例如,可使用 nftablesfirewalld
  • nft(8) man page
  • firewalld-cmd(1) man page