@南馆潇湘
2年前 提问
1个回答

保证NFS安全的使用原则有哪些

齐士忠
2年前

保证NFS安全的使用原则有以下这些:

  • 要考虑好总体的安全,拒绝所有的访问,只有在需要的时候才提供访问。也就是说,不要把NFS导出到任何主机,而只应该将它导出到所需要的主机,尤其是不要将文件系统导出到不信任的主机。用户要尽量使用只读(ro)权限导出文件系统,不要使用(rw)或者(no_root_squash)权限。

  • 不要提供太多的根用户账号。特别要注意保证任何用户都没有NFS客户机的根用户账号,如果具有的话,那么该客户机将会具有最高的权限,会引起很大的安全问题,它可以修改任何它想修改的内容,这显然是不安全的。而且用户应该在NFS服务器上使用(root_squash)和(ro)选项。

  • 尽量使用限制性的NFS客户机方挂接选项,用只读(ro)选项挂接文件系统,除非确实有必要,不然不要允许设置UID二进制文件(nosuid)、设备(nodev)和执行文件(noexec)。

  • 要严格地控制好导出的目录文件。这主要包括导出的数量以及导出的安全选项。导出的数量依据实际情况而定,避免导出过多的和不必要的选项。另外,要严格地控制好导出的安全选项,安全选项就是上面所描述的只读(ro)、可写(rw)和根用户挤压(root_ squash)等选项。

  • 在导出的文件系统下的目录的设置过程中,应当要注意一些控制的问题。在通常情况下,应该要将访问权限一致的目录和文件作为父目录、子目录,而访问权限不一致的就另开一个目录进行导出,这实际上就是一个管理的粒度问题。例如,现有4个目录要进行导出,它们依次是 /direct1、/direct2、/direct3和/direct4。其中,前两个目录的访问权限是只读,而后面两个目录的访问权限是可读/写的,那么,我们在导出的时候可以将/direct2作为/direct1的子目录,放入/direct1中进行导出,然后设置共享权限为只读。