nfs 服务器维护

共享导出

一、软件版本：RedFlagWorkStation5.0NFSServer二、安装：直接采用系统自带ＲＰＭ安装。三、编辑/etc/exports文件/tmp*/tmp四、启动服务器ServiceportmapstartServicenfsstartServicenfslockstart五、客户端使用Mount-tnfs192.168.0.22:/root/mnt六、容易出现的问题：a)Portmap没有正常启动启动b)当NFSServer上面的/etc/hosts文件中的域名与本机ＩＰ不对称时，会出现无法导出共享目录的现象。即exportfs命令导出共享时间极长，导致无法导出，或者showmount–e命令显示本机共离时显示”mountclntudp_create:RPC:Portmapperfailure-RPC:Timedout”错误。c)NFSserver端防火墙导致客户端无法连接d)客户端防火墙导致客户端无法连接：mountclntudp_create:RPC:Portmapperfailure-RPC:Timedout）七、常用的命令：Exportfs-r当修改过/etc/exports后，尽量使用此命令更新导出共享，而不要使用exportfs–a,因为发现使用“-a”参数时，不会刷新已经删除的共享，而是添加上新开的共享目录，而参数“-r”则不会有这样的问题。Showmount-eIPADDR显示本机或指定ＩＰ地址的共享目录。Rpcinfo　–p显示服务器上面的ＲＰＣ信息，以查看portmap,nfs服务是否运行正常。八、NFS安全
NFS的不安全性主要体现于以下4个方面:
1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现
2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制
3、较早的NFS可以使未授权用户获得有效的文件句柄
4、在RPC远程调用中,一个SUID的程序就具有超级用户权限.
加强NFS安全的方法：
1、合理的设定/etc/exports中共享出去的目录，最好能使用anonuid，anongid以使MOUNT到NFSSERVER的CLIENT仅仅有最小的权限，最好不要使用root_squash。
2、使用IPTABLE防火墙限制能够连接到NFSSERVER的机器范围
iptables-AINPUT-ieth0-pTCP-s192.168.0.0/24--dport111-jACCEPT
iptables-AINPUT-ieth0-pUDP-s192.168.0.0/24--dport111-jACCEPT
iptables-AINPUT-ieth0-pTCP-s140.0.0.0/8--dport111-jACCEPT
iptables-AINPUT-ieth0-pUDP-s140.0.0.0/8--dport111-jACCEPT
3、为了防止可能的Dos攻击，需要合理设定NFSD的COPY数目。
4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的
/etc/hosts.allow
portmap:192.168.0.0/255.255.255.0:allow
portmap:140.116.44.125:allow
/etc/hosts.deny
portmap:ALL:deny
5、改变默认的NFS端口
NFS默认使用的是111端口，但同时你也可以使用port参数来改变这个端口，这样就可以在一定程度上增强安全性。
6、使用KerberosV5作为登陆验证系统

Tags：共享导出，nfs 服务器维护

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。