目錄：
（一）關(guān)于NFS防火墻的設(shè)置
（二）關(guān)于NFS權(quán)限的設(shè)置
（三）基于kerberos的NFS

創(chuàng)新互聯(lián)建站專注于中大型企業(yè)的成都做網(wǎng)站、成都網(wǎng)站建設(shè)和網(wǎng)站改版、網(wǎng)站營(yíng)銷服務(wù)，追求商業(yè)策劃與數(shù)據(jù)分析、創(chuàng)意藝術(shù)與技術(shù)開發(fā)的融合，累計(jì)客戶上千家，服務(wù)滿意度達(dá)97%。幫助廣大客戶順利對(duì)接上互聯(lián)網(wǎng)浪潮，準(zhǔn)確優(yōu)選出符合自己需要的互聯(lián)網(wǎng)運(yùn)用，我們將一直專注高端網(wǎng)站設(shè)計(jì)和互聯(lián)網(wǎng)程序開發(fā)，在前進(jìn)的路上，與客戶一起成長(zhǎng)！

（一）關(guān)于NFS防火墻的設(shè)置
NFS（Network File System）即網(wǎng)絡(luò)文件系統(tǒng)，是FreeBSD支持的文件系統(tǒng)中的一種，它允許網(wǎng)絡(luò)中的計(jì)算機(jī)之間共享資源。在NFS的應(yīng)用中，本地NFS的客戶端應(yīng)用可以透明地讀寫位于遠(yuǎn)端NFS服務(wù)器上的文件，就像訪問本地文件一樣。
NFS的優(yōu)勢(shì)如下：
1.節(jié)省本地存儲(chǔ)空間，將常用的數(shù)據(jù)存放在一臺(tái)NFS服務(wù)器上且可以通過網(wǎng)絡(luò)訪問，那么本地終端將可以減少自身存儲(chǔ)空間的使用。
2.用戶不需要在網(wǎng)絡(luò)中的每個(gè)機(jī)器上都建有Home目錄，Home目錄可以放在NFS服務(wù)器上且可以在網(wǎng)絡(luò)上被訪問使用。
3.一些存儲(chǔ)設(shè)備如軟驅(qū)、CDROM和ZIP（一種高儲(chǔ)存密度的磁盤驅(qū)動(dòng)器與磁盤）等都可以在網(wǎng)絡(luò)上被別的機(jī)器使用。這可以減少整個(gè)網(wǎng)絡(luò)上可移動(dòng)介質(zhì)設(shè)備的數(shù)量。
假設(shè)我們?cè)诜?wù)器上有一個(gè)目錄/xx需要共享出去，我們是使用nfs服務(wù)共享出的，因?yàn)閚fs服務(wù)使用的是2049端口，所以在防火墻需要將2049端口開放出去。同時(shí)nfs服務(wù)是基于rpc（遠(yuǎn)程進(jìn)程調(diào)用）服務(wù)調(diào)用的，rpc服務(wù)是服務(wù)在111端口，當(dāng)nfs服務(wù)重啟時(shí)將會(huì)在rpc服務(wù)這里注冊(cè)，所以如果rpc服務(wù)沒有正常啟動(dòng)，那么nfs服務(wù)也沒有辦法正常訪問，即我們需要在防火墻也開放111端口。在nfs系統(tǒng)中我們會(huì)遇到多個(gè)客戶端掛載，為了避免多個(gè)用戶同時(shí)掛載產(chǎn)生問題，我們需要使用一個(gè)鎖來(lái)管理這種掛載問題，所以我們還需要啟動(dòng)mountd服務(wù)，并在防火墻開放對(duì)應(yīng)端口。

(1.1)首先在vms001主機(jī)上將nfs服務(wù)、rpc-bind服務(wù)、mountd服務(wù)在防火墻開啟并寫入持久態(tài)中。

(1.2)我們使用systemctl list-unit-files可以查看到當(dāng)前啟動(dòng)的所有服務(wù)，可以看到rpcbind.service服務(wù)已經(jīng)啟動(dòng)了，并且是static狀態(tài)。

（二）關(guān)于NFS權(quán)限的設(shè)置
(2.1)一般nfs服務(wù)的配置文件是在/etc/exports文件或者/etc/exports.d/*.exports文件中配置的，且文件的格式如下所示。

(2.2)我們?cè)趘ms001主機(jī)上創(chuàng)建一個(gè)/data目錄，并將/data目錄共享出去。


(2.3)接著創(chuàng)建一個(gè)/data目錄，并且將exports文件中的設(shè)置生效。

(2.4)接著在vms002客戶端主機(jī)上測(cè)試vms001主機(jī)提供的nfs服務(wù)是否正常。在vms002主機(jī)上創(chuàng)建一個(gè)/nfsdata目錄，并將/nfsdata目錄掛載到vms001主機(jī)共享的data目錄下。

(2.5)此時(shí)我們?cè)趘ms002主機(jī)上嘗試使用root身份創(chuàng)建一個(gè)文件aaa.txt，發(fā)現(xiàn)系統(tǒng)提示權(quán)限不夠。這是由于在vms001主機(jī)上/var/lib/nfs/etab文件中定義了root_squash參數(shù)，即壓縮root用戶的權(quán)限，使root用戶的權(quán)限同anonuid=65534一致。


(2.6)由于vms001主機(jī)上的/data目錄的other權(quán)限是不可寫的，所以給/data目錄的o加上w的權(quán)限。


(2.7)如果我們想要以root的身份寫入信息，并且不壓縮root的權(quán)限，則可以在/etc/exports文件中進(jìn)行設(shè)置。



(2.8)此時(shí)從vms002主機(jī)上向/nfsdata目錄中寫文件，發(fā)現(xiàn)可以正常的寫入文件，并且是以root身份寫入的。

(2.9)由于在/var/lib/nfs/etab文件中默認(rèn)設(shè)置的參數(shù)是no_all_squash，如果需要對(duì)所有用戶都啟用壓縮權(quán)限，則可以在/etc/exports文件中設(shè)置all_squash即可。

(2.10)設(shè)置192.168.26.102主機(jī)可讀可寫，且掩碼為32；設(shè)置192.168.26.0網(wǎng)段中的主機(jī)都只有只讀的權(quán)限。


(2.11)在vms002主機(jī)的/nfsdata目錄下創(chuàng)建一個(gè)test102host.txt文件，發(fā)現(xiàn)可以正常的創(chuàng)建出對(duì)應(yīng)的文件。

(2.12)經(jīng)驗(yàn)總結(jié)，故障排錯(cuò)：接著我們?cè)谝慌_(tái)IP地址為192.168.26.200的主機(jī)上測(cè)試，進(jìn)入到/nfsdata目錄后，嘗試創(chuàng)建test200host.txt文件，發(fā)現(xiàn)并不能創(chuàng)建成功。
注意：此處我們是通過修改vms002主機(jī)的IP地址為192.168.26.200實(shí)現(xiàn)其他主機(jī)的效果。



(2.13)在vms002主機(jī)上將IP地址重新修改為102后，此時(shí)就可以正常的創(chuàng)建文件了。

（三）基于kerberos的NFS
Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下，Kerberos作為一種可信任的第三方認(rèn)證服務(wù)，是通過傳統(tǒng)的密碼技術(shù)執(zhí)行認(rèn)證服務(wù)的。Kerberos又指麻省理工學(xué)院為這個(gè)協(xié)議開發(fā)的一套計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。系統(tǒng)設(shè)計(jì)上采用客戶端/服務(wù)器結(jié)構(gòu)與DES加密技術(shù)，并且能夠進(jìn)行相互認(rèn)證，即客戶端和服務(wù)器端均可對(duì)對(duì)方進(jìn)行身份認(rèn)證。可以用于防止竊聽，防止replay破壞、保護(hù)數(shù)據(jù)完整性等場(chǎng)合，是一種應(yīng)用對(duì)稱密鑰體系進(jìn)行密鑰管理的系統(tǒng)。Kerberos的擴(kuò)展產(chǎn)品也使公開密鑰方法進(jìn)行認(rèn)證。
麻省理工研發(fā)了kerberos協(xié)議來(lái)保護(hù)ProjectAthena提供的網(wǎng)絡(luò)服務(wù)器。這個(gè)協(xié)議以希臘神話中的人物kerberos命名，他在希臘神話中是Hades的一條兇猛的三頭保衛(wèi)神犬。
在我們的環(huán)境中有一個(gè)kerberos服務(wù)器，這個(gè)服務(wù)器我們稱之為KDC即密鑰分發(fā)中心。在我們的環(huán)境中有很多的主體，包括機(jī)器、service、user、group?，F(xiàn)在我們有一臺(tái)服務(wù)器server，還有一個(gè)客戶端client，如果我們需要基于kerberos來(lái)進(jìn)行保護(hù)時(shí)，此時(shí)KDC會(huì)為每一個(gè)主體分配一個(gè)ticket，很多的信息都是保存在/etc/krb5.keytab文件中的，客戶端和服務(wù)器都有自己獨(dú)立的keytab文件。當(dāng)客戶端訪問服務(wù)器的時(shí)候，客戶端會(huì)出示自己的ticket，此時(shí)服務(wù)器會(huì)使用自己的ticket票據(jù)對(duì)客戶端的ticket合法性做驗(yàn)證，這就是我們整個(gè)kerberos的工作流程。在我們的kerberos環(huán)境里對(duì)時(shí)間同步的要求是非常高的，所有機(jī)器的時(shí)間必須要保持一致，所以我們通過配置NTP服務(wù)器可以實(shí)現(xiàn)需求。

(3.1)我們?cè)趘ms001主機(jī)上使用install.sh腳本創(chuàng)建對(duì)應(yīng)的三臺(tái)KVM虛擬機(jī)，其中host.img（192.168.122.10）對(duì)應(yīng)就是kerberos服務(wù)器，system1.img（192.168.122.100）對(duì)應(yīng)的是nfs服務(wù)器，system2.img（192.168.122.200）對(duì)應(yīng)的是普通的客戶端。


(3.2)接著從vms001主機(jī)上登錄到system1主機(jī)和system2主機(jī)上。


(3.3)此時(shí)host主機(jī)除了是一臺(tái)kerberos服務(wù)器外，還是一臺(tái)LDAP域服務(wù)器。

(3.4)首先我們?cè)趕ystem1主機(jī)上創(chuàng)建普通的nfs服務(wù)器，并將防火墻相關(guān)的端口打開。




(3.5)將system2主機(jī)上的/aa目錄掛載到system1主機(jī)上由nfs共享的/aa目錄上，是可以正常的實(shí)現(xiàn)掛載的。

(3.6)接著我們使用基于kerberos服務(wù)搭建nfs服務(wù)器。我們需要在system1主機(jī)和system2主機(jī)上都要向host主機(jī)申請(qǐng)下載ticket。


(3.7)我們?cè)趕ystem1主機(jī)上創(chuàng)建一個(gè)基于kerberos服務(wù)的目錄/kerberosDir，并且編輯/etc/exports文件。


(3.8)由于SELinux是開啟的狀態(tài)，所以接著修改/kerberosDir的上下文信息。

(3.9)接著在/etc/sysconfig/nfs文件中設(shè)置強(qiáng)制使用nfs4版本。

(3.10)在system1主機(jī)上設(shè)置/kerberosDir目錄的屬主為ldapuser1用戶，并將nfs-server服務(wù)和nfs-secure-server服務(wù)重啟一下。


(3.11)接著在system2主機(jī)上的/etc/fstab 文件中進(jìn)行編輯，system2主機(jī)上的/aa目錄直接掛在到system1主機(jī)上共享的/aa目錄即可。我們?cè)趕ystem2主機(jī)上創(chuàng)建/kerberosDir目錄，但是system2主機(jī)上的/kerberosDir目錄在掛載到system1主機(jī)上/kerberosDir目錄時(shí)，注意需要寫長(zhǎng)主機(jī)名掛載，并且加上v4.2和sec=krb5p參數(shù)。
# mkdir /kerberosDir


(3.12)此時(shí)發(fā)現(xiàn)基于kerberos服務(wù)的system2主機(jī)創(chuàng)建的/kerberosDir目錄已經(jīng)正常的掛載到了system1主機(jī)的/kerberosDir目錄了。

—————— 本文至此結(jié)束，感謝閱讀 ——————