4.3.7.2.2. NFS 클라이언트 확인
nosuid
옵션을 사용하여 setuid 프로그램의 사용을 허용하지 않습니다. nosuid
옵션은 set-user-identifier
또는 set-group-identifier
비트를 비활성화합니다. 이렇게 하면 원격 사용자가 setuid 프로그램을 실행하여 더 높은 권한을 얻을 수 없습니다. 클라이언트 및 서버 측에서 이 옵션을 사용합니다.
noexec
옵션은 클라이언트의 모든 실행 파일을 비활성화합니다. 이를 사용하여 사용자가 공유 중인 파일 시스템에 저장된 파일을 실수로 실행하지 못하도록 합니다. nosuid
및 noexec
옵션은 대부분 파일 시스템이 아닌 경우 표준 옵션입니다.
nodev
옵션을 사용하여 “device-files” 가 클라이언트에서 하드웨어 장치로 처리되지 않도록 합니다.
resvport
옵션은 클라이언트 측 마운트 옵션이며 secure
는 해당 서버 측 내보내기 옵션입니다(위의 설명 참조). "예약 포트"와의 통신을 제한합니다. 예약 또는 "알려진" 포트는 root 사용자와 같은 권한 있는 사용자 및 프로세스를 위해 예약되어 있습니다. 이 옵션을 설정하면 클라이언트가 예약된 소스 포트를 사용하여 서버와 통신합니다.
모든 버전의 NFS에서는 이제 Kerberos 인증을 사용한 마운트를 지원합니다. 이를 활성화하는 마운트 옵션은
sec=krb5
입니다.
NFSv4에서는 무결성을 위해
krb5i
를 사용한 Kerberos와 개인 정보 보호를 위해 krb5p
를 사용한 마운트를 지원합니다. 이는 sec=krb5
로 마운트할 때 사용되지만 NFS 서버에서 구성해야 합니다. 자세한 내용은 내보내기(내장5 내보내기
)의 도움말 페이지를 참조하십시오.
NFS 도움말 페이지(
man 5 nfs
)에는 NFSv4의 보안 개선 사항을 설명하고 모든 NFS 특정 마운트 옵션이 포함되어 있는 “SECURITY CONSIDERATIONS” 섹션이 있습니다.
중요
krb5-libs 패키지에서 제공하는 MIT Kerberos 라이브러리는 새 배포에서 DES(Data Encryption Standard) 알고리즘을 사용하는 것을 지원하지 않습니다. 보안과 특정 호환성상의 이유로 DES는 Kerberos 라이브러리에서 기본적으로 더 이상 사용되지 않으며 비활성화됩니다. 환경이 새로운 보안 알고리즘을 지원하지 않는 경우에만 DES를 사용하십시오.