2.2.4.2. NFS マウントオプションのセキュリティー保護


/etc/fstab ファイルの mount コマンドの使用方法については、『ストレージ管理ガイド』で説明しています。セキュリティー管理からは、NFS マウントオプションもで指定できるので /etc/nfsmount.conf、カスタムのデフォルトオプションを設定するのに使用できることに注意してください。
2.2.4.2.1. NFS サーバーの確認
警告
ファイルシステム全体のみをエクスポートします。ファイルシステムのサブディレクトリーのエクスポートは、セキュリティー上の問題となる可能性があります。クライアントが、エクスポートしたファイルシステムのエクスポートした部分を「縮小」し、エクスポートされていない部分になる場合があります( exports(5) man ページのサブツリーチェックのセクションを参照してください)。
マウントしたファイルシステムに書き込むことができるユーザー数を減らして、可能な限りファイルシステムを読み取り専用としてエクスポートする場合は、ro オプションを使用します。rw オプションは特に必要な場合にのみ使用します。詳細はの man exports(5) ページを参照してください。書き込みアクセスを許可すると、シンボリックリンク攻撃などのリスクが高まります。これには、やなどの一時ディレクトリーが含ま /tmp/usr/tmpます。
ディレクトリーを rw オプションでマウントする必要があると、リスクを軽減できる限り全面的に書き込みができないようにする必要があります。ホームディレクトリーのエクスポートは、一部のアプリケーションはクリアテキストでパスワードを保存するか、または暗号化されていないものにするため、リスクとして見られています。アプリケーションコードの確認および改善により、このリスクが軽減されます。ユーザーが SSH 鍵にパスワードを設定しないため、ホームディレクトリーもリスクを生じさせることになります。パスワードの使用または Kerberos の使用により、このリスクが軽減されます。
アクセスが必要なクライアントにのみエクスポートを制限します。NFS サーバーで showmount -e コマンドを使用して、サーバーがエクスポートしている内容を確認します。特別に必要のないものはエクスポートしないでください。
no_root_squash オプションを使用して、既存のインストールを確認し、インストールが使用されていないことを確認してください。詳細は「オプションを使用し no_root_squash ない」を参照してください。
secure オプションは、エクスポートを制限するために使用されるサーバー側のエクスポートオプションです。 予備 ポート。デフォルトでは、サーバーは、クライアントの通信のみを許可します。 予備 従来のクライアントが許可されるのは 1024 未満のポート(ポート番号が 1024 未満) trusted これらのポートを使用するコード(カーネル内の NFS クライアントなど)。ただし、多くのネットワークでは、一部のクライアントでルートとなるのは困難ではないため、予約済みポートからの通信が特権であることをサーバーが想定しても安全ではありません。したがって、予約ポートの制限は限定的な値であるため、特定のクライアントへの Kerberos、ファイアウォール、およびエクスポートの制限に依存します。
ほとんどのクライアントは、可能な場合は予約ポートを使用します。ただし、予約ポートは限定的なリソースであるため、クライアント(特に NFS マウントが多数ある場合)は、番号が大きいポートも使用するように選択できます。Linux クライアントは、を使用してこれを行うことができます。 noresvport マウントオプション。エクスポートでこれを許可する場合は、でその操作を行うことができます。 insecure エクスポートオプション。
ユーザーがサーバーへのログインを許可しないことが推奨されます。NFS サーバーの上記の設定を確認する際に、サーバーにアクセスできるユーザーと何を確認します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.