21.8. NFS のセキュア化

NFS は、実際にファイルシステムを使用するユーザーではなく、マウント要求を行うホストに基づいてエクスポートされたファイルシステムをマウントできるユーザーを制御します。ホストには、エクスポートしたファイルシステムをマウントするための明示的な権限を付与する必要があります。ファイルおよびディレクトリーのパーミッション以外のユーザーにはアクセス制御はできません。つまり、NFS 経由でファイルシステムがエクスポートされると、NFS サーバーに接続されているリモートホストの任意のユーザーが共有データにアクセスできるようになります。こうしたリスクを抑えるため、管理者によって共通のユーザーおよびグループ ID へのユーザー権限が取り消されたり、読み取り専用のアクセスに制限されたりすることがよくあります。ただし、このソリューションにより、NFS 共有が元々想定されている方法では使用されなくなります。

また、NFS ファイルシステムをエクスポートしているシステムで使用している DNS サーバーのコントロールが攻撃者に奪われると、特定のホスト名または完全修飾ドメイン名に関連付けられているシステムが、未承認のマシンに向かう可能性があります。この時、NFS マウントには、これ以上の安全確保を目的としたユーザー名やパスワード情報の交換が行われないため、この未承認のマシンが NFS 共有のマウントを許可されたシステムに なってしまいます。

ワイルドカードの範囲が意図したよりも多くのシステムを含める可能性があるため、NFS 経由でディレクトリーをエクスポートする場合は、ワイルドカードを慎重に使用する必要があります。

TCP ラッパーを介して portmap サービスへのアクセスを制限することも可能です。また、iptables でファイアウォールルールを作成することで、portmap、rpc.mountd、および rpc.nfsd が使用するポートにアクセスすることもできます。

NFS および portmap のセキュリティー保護に関する詳細は、「iptables」 を参照してください。

NFSv4 のリリースにより、NFS エクスポートへの認証とセキュリティーが向上します。NFSv4 では、RPCSEC_GSS カーネルモジュールと Kerberos バージョン 5 GSS-API メカニズムの実装が義務付けられています。NFSv4 では、必須のセキュリティーメカニズムは個々のユーザーの認証を目的としており、NFSv2 および NFSv3 で使用されるクライアントマシンではありません。

NFSv4 には、POSIX モデルではなく、Microsoft Windows NT モデルをベースとした ACL サポートが含まれています。これは、機能が広くデプロイされているためです。NFSv2 および NFSv3 には、ネイティブ ACL 属性のサポートはありません。

NFSv4 のもう 1 つの重要なセキュリティー機能は、ファイルシステムのマウントに MOUNT プロトコルの使用を削除することです。このプロトコルは、ファイルハンドルの処理方法が原因で、セキュリティーホールの可能性を示していました。

rpc.svcgssd と rpc.gssd の相互動作など、RPCSEC_GSS フレームワークの詳細は、http://www.citi.umich.edu/projects/nfsv4/gssd/ を参照してください。