這篇文章主要介紹“Linux系統(tǒng)下怎么加固NFS服務(wù)安全”����,在日常操作中�,相信很多人在Linux系統(tǒng)下怎么加固NFS服務(wù)安全問題上存在疑惑�,小編查閱了各式資料����,整理出簡單好用的操作方法���,希望對大家解答”Linux系統(tǒng)下怎么加固NFS服務(wù)安全”的疑惑有所幫助�����!接下來�,請跟著小編一起來學(xué)習(xí)吧���!
創(chuàng)新互聯(lián)服務(wù)緊隨時代發(fā)展步伐�,進行技術(shù)革新和技術(shù)進步���,經(jīng)過十年的發(fā)展和積累����,已經(jīng)匯集了一批資深網(wǎng)站策劃師����、設(shè)計師���、專業(yè)的網(wǎng)站實施團隊以及高素質(zhì)售后服務(wù)人員,并且完全形成了一套成熟的業(yè)務(wù)流程�,能夠完全依照客戶要求對網(wǎng)站進行成都網(wǎng)站建設(shè)、成都網(wǎng)站制作����、建設(shè)、維護��、更新和改版���,實現(xiàn)客戶網(wǎng)站對外宣傳展示的首要目的�����,并為客戶企業(yè)品牌互聯(lián)網(wǎng)化提供全面的解決方案����。
NFS(Network File System)是 FreeBSD 支持的一種文件系統(tǒng)����,它允許網(wǎng)絡(luò)中的計算機之間通過 TCP/IP 網(wǎng)絡(luò)共享資源���。不正確的配置和使用 NFS,會帶來安全問題���。
概述
NFS 的不安全性���,主要體現(xiàn)于以下 4 個方面:
缺少訪問控制機制
沒有真正的用戶驗證機制�,只針對 RPC/Mount 請求進行過程驗證
較早版本的 NFS 可以使未授權(quán)用戶獲得有效的文件句柄
在 RPC 遠(yuǎn)程調(diào)用中, SUID 程序具有超級用戶權(quán)限
加固方案
為有效應(yīng)對以上安全隱患,推薦您使用下述加固方案�。
配置共享目錄(/etc/exports)
使用 anonuid,anongid 配置共享目錄�����,這樣可以使掛載到 NFS 服務(wù)器的客戶機僅具有最小權(quán)限�����。不要使用 no_root_squash���。
使用網(wǎng)絡(luò)訪問控制
使用 安全組策略 或 iptable 防火墻限制能夠連接到 NFS 服務(wù)器的機器范圍���。
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
賬號驗證
使用 Kerberos V5 作為登錄驗證系統(tǒng)���,要求所有訪問人員使用賬號登錄,提高安全性��。
設(shè)置 NFSD 的 COPY 數(shù)目
在
Linux
中���,NFSD 的 COPY 數(shù)目定義在啟動文件 /etc/rc.d/init.d/nfs 中��,默認(rèn)值為 8�����。
最佳的 COPY 數(shù)目一般取決于可能的客戶機數(shù)目�。您可以通過測試來找到 COPY 數(shù)目的近似最佳值��,并手動設(shè)置該參數(shù)�����。
選擇傳輸協(xié)議
對于不同的網(wǎng)絡(luò)情況����,有針對地選擇 UDP 或 TCP 傳輸協(xié)議。傳輸協(xié)議可以自動選擇�,也可以手動設(shè)置���。
mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR
UDP 協(xié)議傳輸速度快,非連接傳輸時便捷�����,但其傳輸穩(wěn)定性不如 TCP����,當(dāng)網(wǎng)絡(luò)不穩(wěn)定或者黑客入侵時很容易使 NFS 性能大幅降低,甚至導(dǎo)致網(wǎng)絡(luò)癱瘓����。一般情況下����,使用 TCP 的 NFS 比較穩(wěn)定,使用 UDP 的 NFS 速度較快�。
在機器較少,網(wǎng)絡(luò)狀況較好的情況下��,使用 UDP 協(xié)議能帶來較好的性能�����。
當(dāng)機器較多,網(wǎng)絡(luò)情況復(fù)雜時�,推薦使用 TCP 協(xié)議(V2 只支持 UDP 協(xié)議)。
在局域網(wǎng)中使用 UDP 協(xié)議較好���,因為局域網(wǎng)有比較穩(wěn)定的網(wǎng)絡(luò)保證�,使用 UDP 可以帶來更好的性能�����。
在廣域網(wǎng)中推薦使用 TCP 協(xié)議��,TCP 協(xié)議能讓 NFS 在復(fù)雜的網(wǎng)絡(luò)環(huán)境中保持最好的傳輸穩(wěn)定性��。
限制客戶機數(shù)量
修改 /etc/hosts.allow 和 /etc /hosts.deny 來限制客戶機數(shù)量�。
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny
改變默認(rèn)的 NFS 端口
NFS 默認(rèn)使用的是 111 端口,使用 port 參數(shù)可以改變這個端口值��。改變默認(rèn)端口值能夠在一定程度上增強安全性����。
配置 nosuid 和 noexec
SUID (Set User ID) 或 SGID (Set Group ID) 程序可以讓普通用戶以超過自己權(quán)限來執(zhí)行。很多 SUID/SGID 可執(zhí)行程序是必須的��,但也可能被一些惡意的本地用戶利用�����,獲取本不應(yīng)有的權(quán)限。
盡量減少所有者是 root���,或是在 root 組中卻擁有 SUID/SGID 屬性的文件���。您可以刪除這樣的文件或更改其屬性,如:
使用 nosuid 選項禁止 set-UID 程序在 NFS 服務(wù)器上運行����,可以在 /etc/exports 加入一行:
/www www.abc.com(rw, root_squash, nosuid)
使用 noexec 禁止直接執(zhí)行其中的二進制文件。
到此�,關(guān)于“Linux系統(tǒng)下怎么加固NFS服務(wù)安全”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑����。理論與實踐的搭配能更好的幫助大家學(xué)習(xí)���,快去試試吧���!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站���,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>
文章名稱:Linux系統(tǒng)下怎么加固NFS服務(wù)安全
URL分享:http://weahome.cn/article/gjepcc.html
重慶分公司
重慶分公司
