任何網(wǎng)絡(luò)服務(wù)器都會(huì)有安全問題，NFS也不例外。由于設(shè)計(jì)方面的因素，NFS服務(wù)器不可能絕對(duì)安全。一般來說，不應(yīng)該將NFS服務(wù)器運(yùn)行在比較敏感的系統(tǒng)或者只有一般防火墻的機(jī)器上，應(yīng)該盡量將其置于防火墻之后。配置安全的NFS服務(wù)器，可以從限制RCP服務(wù)的訪問和控制文件系統(tǒng)的導(dǎo)出權(quán)限兩方面著手。

　　

    NFS面臨的安全隱患

　　

    因?yàn)镹FS在網(wǎng)絡(luò)上明文傳輸所有信息，按照默認(rèn)設(shè)置，NFS共享把根用戶改成用戶NFSnobody，它是一個(gè)不具備特權(quán)的用戶賬號(hào)。這樣，所有根用戶創(chuàng)建的文件都會(huì)被用戶NFSnobody所有，從而防止了設(shè)置setuid的程序被上傳到系統(tǒng)。如果使用了no_root_squash，遠(yuǎn)程用戶就能夠改變共享文件系統(tǒng)上的任何文件，把設(shè)置了特洛伊木馬的程序留給其他用戶，在無意中執(zhí)行。

　　

    NFS服務(wù)器安全策略

　　

    (1)使用TCP_Wrappers

　　

    portmap和rpc.NFSd結(jié)合起來，使NFS服務(wù)器上的文件即使沒有任何權(quán)限也能容易得到�？梢允褂迷L問控制保障網(wǎng)絡(luò)安全，在使用NFS時(shí)最好結(jié)合TCP_Wrappers來限制使用范圍。

　　

    (2)注意配置文件語法錯(cuò)誤

　　

    NFS服務(wù)器通過/etc/exports文件來決定要導(dǎo)出哪些文件系統(tǒng)，以及把這些目錄導(dǎo)出到哪些主機(jī)上。編輯這個(gè)文件的時(shí)候要特別小心，不要添加額外的空格。

　　

    例如：/etc/exports文件的以下行會(huì)使主機(jī)bob.example.com 能夠共享/tmp/NFS/目錄。

　　

    /tmp/NFS/ bob.example.com(rw)

　　

    但是 /etc/exports 文件中這一行的情況卻不同。它共享同一目錄，讓主機(jī) bob.example.com 擁有只讀權(quán)限，卻給全局以讀寫權(quán)限。這全是由主機(jī)后面的一個(gè)空格造成的。

　　

    /tmp/NFS/

　　

    bob.example.com (rw)

　　

    使用 showmount 命令來校驗(yàn)?zāi)男┠夸洷还蚕恚瑥亩鴻z查NFS共享配置是一個(gè)好習(xí)慣。showmount格式為：

　　

    showmount -e

　　

    (3)使用iptables防火墻

　　

    因?yàn)镹FS在網(wǎng)絡(luò)上明文傳輸所有信息，所以讓NFS服務(wù)器在防火墻后、在一個(gè)分段的安全網(wǎng)絡(luò)上運(yùn)行就很重要。無論何時(shí)在不安全的網(wǎng)絡(luò)上傳遞NFS信息都有被截取的危險(xiǎn)。從這個(gè)角度講，謹(jǐn)慎制定網(wǎng)絡(luò)計(jì)劃就有助于防御重要的安全破壞。限制RCP服務(wù)訪問的辦法一般是使用防火墻，除了TCP-Wrapper還有ipchians和iptalbes的防火墻。在全面使用Linux 2.4或更高版本內(nèi)核的今天，了解iptables這種防火墻方法也就足夠了。 缺省的狀態(tài)下，portmap使用111端口，而NFS使用2049端口，可以通過iptables來限制對(duì)該端口的訪問：

　　

    iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 111 -j DROP iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 2049 -j DROP iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip –dport 49 -j ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport 49 -j DROP

　　

    (4)把開放目錄限制為只讀權(quán)限

　　

    可以在/etc/exports文件中設(shè)定權(quán)限選項(xiàng)ro，通常需要把NFS服務(wù)器對(duì)客戶開放的任何目錄或文件系統(tǒng)設(shè)置為只讀訪問：

 

    /app devpc.nitec.com(ro)

　　

    這樣，devpc.nitec.com網(wǎng)絡(luò)中的客戶只能對(duì)/app目錄進(jìn)行只讀訪問。

　　

    (5)禁止對(duì)某些目錄的訪問

　　

    當(dāng)開放一個(gè)完整的文件系統(tǒng)或者一個(gè)目錄時(shí)，缺省情況下它的子目錄會(huì)自動(dòng)開放訪問權(quán)限。如果希望限制對(duì)其子目錄的訪問可以使用noaccess訪問選項(xiàng)，例如希望開放/pub目錄權(quán)限但是禁止訪問/pub/staff-only子目錄：

　　

    /pub weblab-??.nitec.com (ro)

　　

    /pub/staff-only weblab-??.nitec.com (noaccess)

　　

    注意： “??”代表任意字符。

　　

    (6)root squashing訪問問題

　　

    按照默認(rèn)設(shè)置，root用戶的用戶ID和組群ID都是0。root權(quán)限壓縮(Root squashing)把用戶ID0和組群ID0映射為匿名的用戶和組群ID，因此客戶上的根用戶就不會(huì)在NFS服務(wù)器上具備根特權(quán)。如果這個(gè)選項(xiàng)被選，root用戶就不會(huì)被映射為匿名用戶，客戶上的root用戶就會(huì)對(duì)導(dǎo)出的目錄擁有根特權(quán)。選擇這個(gè)選項(xiàng)會(huì)大大降低系統(tǒng)的安全性。除非絕對(duì)必要，請(qǐng)不要選擇它。為了明確執(zhí)行該規(guī)則，可以修改文件/etc/exports：

　　

    /www www1.nitec.com(rw, root_squash)

　　

    這樣如果客戶端的UID0(root)用戶想要訪問(讀、寫、刪除)一個(gè)NFS文件系統(tǒng)，服務(wù)器端會(huì)用UID代替服務(wù)器的nobody賬戶。這樣客戶端的root用戶不能修改和訪問服務(wù)器端root用戶才能訪問和修改的文件。

　　

    (7)使用nosuid和noexec選項(xiàng)

　　

    SUID(Set User ID)或SGID(Set Group ID)程序可以讓普通用戶以超過自己權(quán)限的形式執(zhí)行。很多SUID/SGID可執(zhí)行程序是必須的，比如上面提到的passwd。SUID/SGID程序會(huì)被一些惡意的本地用戶利用，獲取本不應(yīng)有的權(quán)限。運(yùn)行以下命令可以找到所有具有這一屬性的程序：

　　

    #find / ( -perm -4000 -o -perm -2000 )

　

   使用者必須查看這一列表，盡量減少那些所有者是root或是在root組中卻擁有SUID/SGID屬性的文件，刪除或?qū)ζ鋵傩赃M(jìn)行更改。使用nosuid選項(xiàng)禁止set-UID程序在 NFS服務(wù)器上運(yùn)行，可以修改文件/etc/exports加入一行：

　　

    /www www1.nitec.com(rw, root_squash, nosuid)

　　

    上面的例子說明：/www目錄在www1.nitec.com上可以登錄，www1.nitec.com的用戶可以讀取/www中的文件和目錄，但是不能運(yùn)行set- UID程序。

　　

    /www www1.nitec.com(rw, root_squash, noexec)

　　

    上面的例子說明/www目錄在www1.nitec.com上可以登錄，www1.nitec.com的用戶可以讀取/www中的文件和目錄，但是禁止所登錄文件系統(tǒng)中文件的執(zhí)行。

　　

    NFS是非常重要的網(wǎng)絡(luò)協(xié)議，許多企業(yè)通過NFS協(xié)議共享硬盤和其它設(shè)備。把能登錄NFS目錄設(shè)置為只讀訪問、提高portmap服務(wù)的安全性、squashing root訪問、使用on set-UID 和non executable文件設(shè)置可以提高NFS服務(wù)器的安全。