当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > Linux下的NFS

Unix/Linux
Linux安全攻略 如何才能让内存不再泄漏
八大原因 让Linux远离普通用户
Linux下如何限制Root用户进行远程登陆
DenyHosts 阻止SSH暴力破解最好的方法
十一条守则 确保Linux系统安全的好办法
了解Linux系统内核安全的入侵侦察系统
斩断Linux邮件服务器上的垃圾邮件魔掌
Linux Ext3文件被删除后的恢复方法介绍
IP安全加密 IPSec安全技术全面接触
实用技巧 使用MD5加密GRUB密码操作步骤
感染Linux系统脚本程序的病毒技术介绍
使用 mailman 架设邮件列表
RedHat9.0下的DNS和虚拟主机的配置
利用IP 别名托管多个SSL 站点
嵌入式Linux在工业控制领域中的应用
用SSH客户端软件登录到服务器
Linux内核: 修改TCP/IP调优参数
实现Windows与Unix、Linux间数据交换
使用Linux脚本对无线网络进行管理
Linux下的网络HOOK实现以及使用方法

Unix/Linux 中的 Linux下的NFS


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 182 ::
收藏到网摘: n/a


  NFS(Network File System)是由Sun开发的用于网络上文件共享的协议.NFS使用起来很方便,所以得到了广泛的应用.但由于它的认证机制是基于IP地址的,因而容易被攻击.
  注意NFS是基于rpc机制的,所以portmap服务一定要打开.
  在RedHat中:
  /etc/rc.d/init.d/nfs
  ...
  
  [ -f /usr/sbin/rpc.nfsd ] || exit 0
  [ -f /usr/sbin/rpc.mountd ] || exit 0
  [ -f /etc/exports ] || exit 0
  
  # See how we were called.
  case "$1" in
  start)
  # Start daemons.
  echo -n "Starting NFS services: "
  daemon rpc.mountd
  daemon rpc.nfsd
  echo
  touch /var/lock/subsys/nfs
  ;;
  
  ...
  
  可以看出由三个重要文件,rpc.mountd,rpc.nfsd,/etc/exports.
  rpc.nfsd
  用于处理客户文件系统的请求.
  
  rpc.mountd
  但从一个NFS客户受到一个mount请求,根据/etc/exports来决
  定是否提供服务,如果被允许,rpc.mountd创建一个文件句柄并在
  /etc/rmtab中加上一条纪录.该记录在umount时被删除.
  
  /etc/exports
  NFS的配置文件.
  
  例如:
  这里有四台机器:192.168.1.1 192.168.1.2

  192.168.1.3 192.168.1.4
  在192.168.1.1上:
  /etc/exports包含下面一条:
  /home/ftp/pub 192.168.1.0/255.255.255.0(ro)
  
  在192.168.1.2上:
  showmount -e 192.168.1.1
  /home/ftp/pub ro
  
  mount 192.168.1.1:/home/ftp/pub /mnt
  这样在192.168.1.2上就可以自由的访问192.168.1.1的
  /home/ftp/pub下的文件,仿佛它们就存在/mnt下.
  
  /etc/exports的配置规则:
  每一条都有下面的形式:
  directory machine_name(option)
  directory就是本地的一个目录.
  machine_name描述那些及其有权利访问该目录.
  option描述了提供了什么样的服务,或者说客户有什么样的权利.
  
  machine_name的格式:
  single host: 一个机器名或一个ip地址.
  /tmp friday(ro)
  /tmp 192.168.1.3(ro)
  wildcard:使用了通配符,* 或 ?.
  /tmp *.cs.foo.edu(ro)
  IP 子网: 如: 192.168.1.0/255.255.255.0
  =public: 所有机器都有权利.
  
  option:
  ro 只读
  rw 读写
  noaccess 无权
  link_relative/link_absolute 对符号连接的处理,前者是
  加上"./",后者是保持不便.
  在NFS中存在一个anonymous用户用于处理用户的访问权限.
  root_squash/no_root_squash:是否将root映射到anonymous.
  squash_uid/squash_gid/all_squash:
  如何处理用户的uid和gid.
  map_static:启动静态映射.
  如: map_static=/etc/nfs/foobar.map
  /etc/nfs/foobar.map
  # remote local
  uid 0-99 - #squash
  uid 100-500 1000
  gid 0-49 - #squash
  gid 50-100 700
  
  一个复杂的例子:
  / master(rw) trusty(rw,no_root_squash)
  /usr *.local.domain(ro)
  /project proj*.local.domain(rw)
  /pub =public(ro)
  /pub/private (noaccess)
  
  由于它的认证机制是基于IP地址的,因而容易被ip-spoofing攻击.
  一般除非必要不要打开这项服务.