這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)如何為NFS服務(wù)安全加固，文章內(nèi)容豐富且以專(zhuān)業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)公司自2013年起，我們提供高端網(wǎng)站建設(shè)、成都微信小程序、電商視覺(jué)設(shè)計(jì)、成都app開(kāi)發(fā)及網(wǎng)絡(luò)營(yíng)銷(xiāo)搜索優(yōu)化服務(wù)，在傳統(tǒng)互聯(lián)網(wǎng)與移動(dòng)互聯(lián)網(wǎng)發(fā)展的背景下，我們堅(jiān)守著用標(biāo)準(zhǔn)的設(shè)計(jì)方案與技術(shù)開(kāi)發(fā)實(shí)力作基礎(chǔ)，以企業(yè)及品牌的互聯(lián)網(wǎng)商業(yè)目標(biāo)為核心，為客戶打造具商業(yè)價(jià)值與用戶體驗(yàn)的互聯(lián)網(wǎng)+產(chǎn)品。

NFS（Network File System）是 FreeBSD 支持的一種文件系統(tǒng)，它允許網(wǎng)絡(luò)中的計(jì)算機(jī)之間通過(guò) TCP/IP 網(wǎng)絡(luò)共享資源。不正確的配置和使用 NFS，會(huì)帶來(lái)安全問(wèn)題。

概述

NFS 的不安全性，主要體現(xiàn)于以下 4 個(gè)方面:

• 缺少訪問(wèn)控制機(jī)制

• 沒(méi)有真正的用戶驗(yàn)證機(jī)制，只針對(duì) RPC/Mount 請(qǐng)求進(jìn)行過(guò)程驗(yàn)證

• 較早版本的 NFS 可以使未授權(quán)用戶獲得有效的文件句柄

• 在 RPC 遠(yuǎn)程調(diào)用中, SUID 程序具有超級(jí)用戶權(quán)限

配置共享目錄 /etc/exports

使用 anonuid，anongid 配置共享目錄，這樣可以使掛載到 NFS 服務(wù)器的客戶機(jī)僅具有最小權(quán)限。不要使用 no_root_squash。

使用網(wǎng)絡(luò)訪問(wèn)控制

使用 安全組策略 或 iptable 防火墻限制能夠連接到 NFS 服務(wù)器的機(jī)器范圍。

賬號(hào)驗(yàn)證

使用 Kerberos V5 作為登錄驗(yàn)證系統(tǒng)，要求所有訪問(wèn)人員使用賬號(hào)登錄，提高安全性。

選擇傳輸協(xié)議

對(duì)于不同的網(wǎng)絡(luò)情況，有針對(duì)地選擇 UDP 或 TCP 傳輸協(xié)議。傳輸協(xié)議可以自動(dòng)選擇，也可以手動(dòng)設(shè)置。

mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR

UDP 協(xié)議傳輸速度快，非連接傳輸時(shí)便捷，但其傳輸穩(wěn)定性不如 TCP，當(dāng)網(wǎng)絡(luò)不穩(wěn)定或者黑客入侵時(shí)很容易使 NFS 性能大幅降低，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。一般情況下，使用 TCP 的 NFS 比較穩(wěn)定，使用 UDP 的 NFS 速度較快。

• 在機(jī)器較少，網(wǎng)絡(luò)狀況較好的情況下，使用 UDP 協(xié)議能帶來(lái)較好的性能。

• 當(dāng)機(jī)器較多，網(wǎng)絡(luò)情況復(fù)雜時(shí)，推薦使用 TCP 協(xié)議（V2 只支持 UDP 協(xié)議）。

• 在局域網(wǎng)中使用 UDP 協(xié)議較好，因?yàn)榫钟蚓W(wǎng)有比較穩(wěn)定的網(wǎng)絡(luò)保證，使用 UDP 可以帶來(lái)更好的性能。

• 在廣域網(wǎng)中推薦使用 TCP 協(xié)議，TCP 協(xié)議能讓 NFS 在復(fù)雜的網(wǎng)絡(luò)環(huán)境中保持最好的傳輸穩(wěn)定性。

限制客戶機(jī)數(shù)量

修改 /etc/hosts.allow 和 /etc /hosts.deny 來(lái)限制客戶機(jī)數(shù)量。

 /etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
 portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny

改變默認(rèn)的 NFS 端口

NFS 默認(rèn)使用的是 111 端口，使用 port 參數(shù)可以改變這個(gè)端口值。改變默認(rèn)端口值能夠在一定程度上增強(qiáng)安全性。

配置 nosuid 和 noexec

SUID (Set User ID) 或 SGID (Set Group ID) 程序可以讓普通用戶以超過(guò)自己權(quán)限來(lái)執(zhí)行。很多 SUID/SGID 可執(zhí)行程序是必須的，但也可能被一些惡意的本地用戶利用，獲取本不應(yīng)有的權(quán)限。

盡量減少所有者是 root，或是在 root 組中卻擁有 SUID/SGID 屬性的文件。您可以刪除這樣的文件或更改其屬性，如：

使用 nosuid 選項(xiàng)禁止 set-UID 程序在 NFS 服務(wù)器上運(yùn)行，可以在 /etc/exports 加入一行：

/www www.abc.com(rw, root_squash, nosuid)

使用 noexec 禁止直接執(zhí)行其中的二進(jìn)制文件。

上述就是小編為大家分享的如何為NFS服務(wù)安全加固了，如果剛好有類(lèi)似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。