2.2.4.2.2. NFS クライアントの確認

setuid プログラムの使用を無効にするには、nosuid オプションを使用します。nosuid オプションは、set-user-identifier または set-group-identifier ビットを無効にします。これにより、リモートユーザーが setuid プログラムを実行してより高い権限を取得できなくなります。クライアントとサーバー側でこのオプションを使用します。

noexec オプションは、クライアント上の実行ファイルをすべて無効にします。このパラメーターを使用して、ユーザーがファイルシステムを共有するファイルを誤って実行するのを防ぎます。nosuid および noexec オプションは、ほとんどのファイルシステム（すべてではない場合は）の標準オプションです。

nodev オプションを指定して回避します。 「device-files」 クライアントがハードウェアデバイスとして処理できないようにします。

resvport オプションはクライアント側のマウントオプションで、対応するサーバー側のエクスポートオプション secure です（上記の説明を参照してください）。「予約されたポート」への通信を制限します。予約済みまたは「well known」ポートは、root ユーザーなどの特権ユーザーやプロセス用に予約されます。このオプションを設定すると、クライアントは予約済みソースポートを使用してサーバーと通信します。

NFS のすべてのバージョンが、Kerberos 認証でのマウントに対応するようになりました。これを有効にするマウントオプションはです sec=krb5。

NFSv4 は、整合性と krb5p プライバシー保護 krb5i のためのを使用した Kerberos によるマウントをサポートします。これらは sec=krb5、でマウントするときに使用されますが、NFS サーバーで設定する必要があります。詳細は、エクスポートの man ページ(man 5 exports)を参照してください。

NFS の man ページ(man 5 nfs)には、があります。 「セキュリティーに関する考慮事項」 セクションには、NFSv4 のセキュリティー強化と、すべての NFS 固有のマウントオプションが含まれています。