21.8. NFS のセキュア化


NFS は、ファイルシステム全体を多数の既知のホストと透過的に共有する場合に適しています。ただし、使いやすくなると、さまざまな潜在的なセキュリティー問題があります。
サーバーで NFS ファイルシステムをエクスポートする場合や、クライアントにマウントする場合は、以下の点を考慮する必要があります。そうすることで、NFS のセキュリティーリスクが最小限に抑えられ、サーバー上のデータがより適切に保護されます。

21.8.1. ホストアクセス

実装予定の NFS のバージョンに応じて、既存のネットワーク環境に応じて、セキュリティーの懸念事項により異なります。以下のセクションでは、NFSv2、NFSv3、および NFSv4 でセキュリティー対策を実装する際の相違点を説明します。可能な限り、他のバージョンの NFS よりも NFSv4 の使用が推奨されます。

21.8.1.1. NFSv2 または NFSv3 の使用

NFS は、実際にファイルシステムを使用するユーザーではなく、マウント要求を行うホストに基づいてエクスポートされたファイルシステムをマウントできるユーザーを制御します。ホストには、エクスポートしたファイルシステムをマウントするための明示的な権限を付与する必要があります。ファイルおよびディレクトリーのパーミッション以外のユーザーにはアクセス制御はできません。つまり、NFS 経由でファイルシステムがエクスポートされると、NFS サーバーに接続されているリモートホストの任意のユーザーが共有データにアクセスできるようになります。こうしたリスクを抑えるため、管理者によって共通のユーザーおよびグループ ID へのユーザー権限が取り消されたり、読み取り専用のアクセスに制限されたりすることがよくあります。ただし、このソリューションにより、NFS 共有が元々想定されている方法では使用されなくなります。
また、NFS ファイルシステムをエクスポートしているシステムで使用している DNS サーバーのコントロールが攻撃者に奪われると、特定のホスト名または完全修飾ドメイン名に関連付けられているシステムが、未承認のマシンに向かう可能性があります。この時、NFS マウントには、これ以上の安全確保を目的としたユーザー名やパスワード情報の交換が行われないため、この未承認のマシンが NFS 共有のマウントを許可されたシステムに なってしまいます
ワイルドカードの範囲が意図したよりも多くのシステムを含める可能性があるため、NFS 経由でディレクトリーをエクスポートする場合は、ワイルドカードを慎重に使用する必要があります。
TCP ラッパーを介して portmap サービスへのアクセスを制限することも可能です。また、iptables でファイアウォールルールを作成することで、portmaprpc.mountd、および rpc.nfsd が使用するポートにアクセスすることもできます。
NFS および portmap のセキュリティー保護に関する詳細は、「iptables」 を参照してください。

21.8.1.2. NFSv4 の使用

NFSv4 のリリースにより、NFS エクスポートへの認証とセキュリティーが向上します。NFSv4 では、RPCSEC_GSS カーネルモジュールと Kerberos バージョン 5 GSS-API メカニズムの実装が義務付けられています。NFSv4 では、必須のセキュリティーメカニズムは個々のユーザーの認証を目的としており、NFSv2 および NFSv3 で使用されるクライアントマシンではありません。
注記
NFSv4 サーバーを設定する前に、Kerberos ticket-granting server (KDC) が正しくインストールおよび設定されていることを前提としています。Kerberos はネットワーク認証システムであり、対称暗号化と、信頼できるサードパーティー (KDC) を使用してクライアントとサーバーが相互に認証できるようにします。
重要
NFSv4 サーバーが Kerberos バージョン 5 GSS-API メカニズムを使用するように設定されている場合、NFS over UDP はサポートされず、クライアントシステムで NFS エクスポートのファイルシステムのマウントが失敗する可能性があります。したがって、この状況では TCP を使用することが推奨されます。詳細は、「TCP での NFS の使用」 を参照してください。
NFSv4 には、POSIX モデルではなく、Microsoft Windows NT モデルをベースとした ACL サポートが含まれています。これは、機能が広くデプロイされているためです。NFSv2 および NFSv3 には、ネイティブ ACL 属性のサポートはありません。
NFSv4 のもう 1 つの重要なセキュリティー機能は、ファイルシステムのマウントに MOUNT プロトコルの使用を削除することです。このプロトコルは、ファイルハンドルの処理方法が原因で、セキュリティーホールの可能性を示していました。
rpc.svcgssdrpc.gssd の相互動作など、RPCSEC_GSS フレームワークの詳細は、http://www.citi.umich.edu/projects/nfsv4/gssd/ を参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.