Menu Close

6.3.2. 保护 NFS 客户端的挂载选项

您可以将以下选项传递给 mount 命令,以增加基于 NFS 的客户端的安全性:

nosuid
使用 nosuid 选项禁用 set-user-identifierset-group-identifier 位。这样可防止远程用户通过运行 setuid 程序获得更高的特权,并可使用此选项与 setuid 选项相反。
noexec
使用 noexec 选项禁用客户端上的所有可执行文件。使用此选项可防止用户意外执行位于共享文件系统中的文件。
nodev
使用 nodev 选项防止客户端将设备文件作为硬件设备处理。
resvport
使用 resvport 选项将通信限制到保留端口,您可以使用特权源端口与服务器通信。保留的端口是为特权用户和进程保留的,如 root 用户。
使用 NFS 服务器上的 sec 选项,选择 RPCGSS security 类别来访问挂载点上的文件。有效的安全类别包括 none, sys, krb5, krb5i, 和 krb5p
重要

krb5-libs 软件包提供的 MIT Kerberos 库不支持新部署中的数据加密标准(DES)算法。因为安全和兼容性的原因,在 Kerberos 库中默认禁用 DES。出于兼容性的原因,请使用更新、更安全的算法而不是 DES。