9.3. 保护 NFS 服务
您可以使用 Kerberos 验证并加密所有文件系统操作来保护网络文件系统 4(NFSv4)。在将 NFSv4 与网络地址转换(NAT)或防火墙搭配使用时,您可以通过修改 /etc/default/nfs
文件来关闭委托。委托(Delegation)是服务器将文件管理委派给客户端的一种技术。相反,NFSv2 和 NFSv3 不使用 Kerberos 锁定和挂载文件。
NFS 服务在所有 NFS 版本中使用 TCP 发送流量。该服务支持 Kerberos 用户和组身份验证,作为 RPCSEC_GSS
内核模块的一部分。
NFS 允许远程主机通过网络挂载文件系统,并与这些文件系统进行交互,就像它们被挂载到本地一样。您可以在集中服务器中合并资源,并在共享文件系统时额外自定义 /etc/nfsmount.conf
文件中的 NFS 挂载选项。
9.3.1. 保护 NFS 服务器的导出选项
NFS 服务器决定有关将哪些文件系统导出到 /etc/exports
文件中的目录和主机的列表结构。
您可以在 /etc/exports
文件中使用以下导出选项:
ro
- 将 NFS 卷导出为只读。
rw
-
允许在 NFS 卷上读取和写入请求。请小心使用这个选项,因为允许写入访问会增加攻击的风险。如果您的场景需要使用
rw
选项挂载目录,请确保所有用户都无法写入,以减少可能的风险。 root_squash
-
将来自
uid
/gid
0 的请求映射到匿名uid
/gid
。这不适用于其它可能比较敏感的uid
或gid
,如bin
用户或staff
组。 no_root_squash
-
关闭 root 压缩。默认情况下,NFS 共享将
root
用户改为nobody
用户,这是一个非特权用户帐户。这会将所有root
创建的文件的所有者改为nobody
,这样可以防止上传设置了setuid
位的程序。如果使用no_root_squash
选项,则远程 root 用户可以更改共享文件系统上的任何文件,并将感染特洛伊木马的应用程序留给其他用户。 secure
-
将导出限制为保留端口。默认情况下,服务器只允许客户端通信通过保留的端口。但是在网络上,任何人都可以容易地成为客户端上的
root
用户,因此,对于服务器来说,假设通过保留端口的通信都具有特权是不安全的。因此,对保留端口的限制具有有限的值;最好根据 Kerberos、防火墙和对特定客户端的导出限制来决定。
/etc/exports
文件语法中的额外空格可能会导致配置中的主要更改。
在以下示例中,/tmp/nfs/
目录与 bob.example.com
主机共享,并且具有读取和写入权限。
/tmp/nfs/ bob.example.com(rw)
以下示例与前一个相同,但对 bob.example.com
主机共享具有只读权限的相同的目录,由于主机名后面有一个空格字符,因此可以对 world 共享具有读写权限的目录。
/tmp/nfs/ bob.example.com (rw)
您可以通过输入 showmount -e < hostname> 命令来检查
系统上的共享目录。
另外,在导出 NFS 服务器时请考虑以下最佳实践:
- 导出主目录存在风险,因为某些应用以纯文本或弱加密格式存储密码。您可以通过检查并改进应用程序代码来降低风险。
- 有些用户未对 SSH 密钥设置密码,这再次给主目录带来风险。您可以通过强制使用密码或使用 Kerberos 来降低这些风险。
-
将 NFS 导出仅限制为所需的客户端。在 NFS 服务器上使用
showmount -e
命令来检查服务器正在导出什么。不要导出不需要的任何内容。 - 不要允许不必要的用户登录到服务器,以减少攻击风险。您可以定期检查谁可以访问服务器,以及可以访问服务器的什么数据。
要导出整个文件系统,因为导出文件系统的子目录不安全。攻击者可能会访问部分导出的文件系统中的未导出部分。
其他资源
- 使用 RHEL Identity Management 时在 IdM 中使用自动挂载
-
您系统上的
exports (5)
和nfs (5)
手册页
9.3.2. 保护 NFS 客户端的挂载选项
您可以将以下选项传递给 mount
命令,以增加基于 NFS 的客户端的安全性:
nosuid
-
使用
nosuid
选项禁用set-user-identifier
或set-group-identifier
位。这样可防止远程用户通过运行setuid
程序获得更高的特权,并可使用此选项与setuid
选项相反。 noexec
-
使用
noexec
选项禁用客户端上的所有可执行文件。使用此选项可防止用户意外执行位于共享文件系统中的文件。 nodev
-
使用
nodev
选项防止客户端将设备文件作为硬件设备处理。 resvport
-
使用
resvport
选项将通信限制到保留端口,您可以使用特权源端口与服务器通信。保留的端口是为特权用户和进程保留的,如root
用户。 秒
-
使用 NFS 服务器上的
sec
选项,选择 RPCGSS security 类别来访问挂载点上的文件。有效的安全类别包括none
,sys
,krb5
,krb5i
, 和krb5p
。
krb5-libs
软件包提供的 MIT Kerberos 库不支持新部署中的数据加密标准(DES)算法。因为安全和兼容性的原因,在 Kerberos 库中默认禁用 DES。出于兼容性的原因,请使用更新、更安全的算法而不是 DES。
其他资源
9.3.3. 使用防火墙保护 NFS
要保护 NFS 服务器上的防火墙,请仅开放所需的端口。不要将 NFS 连接端口号用于任何其他服务。
前提条件
-
已安装
nfs-utils
软件包。 -
firewalld
软件包已安装并运行。
流程
-
在 NFSv4 上,防火墙必须打开 TCP 端口
2049
。 在 NFSv3 上,使用
2049
打开四个额外端口:rpcbind
服务动态分配 NFS 端口,这可能会在创建防火墙规则时导致问题。要简化这个过程,使用/etc/nfs.conf
文件指定要使用哪些端口:-
在
[mountd]
部分为mountd
(rpc.mountd
) 设置 TCP 和 UDP 端口,格式为port=<value>
。 -
在
[statd]
部分为statd
(rpc.statd
) 设置 TCP 和 UDP 端口,格式为port=<value>
。
-
在
在
/etc/nfs.conf
文件中为 NFS 锁定管理器(nlockmgr
)设置 TCP 和 UDP 端口:-
在
[lockd]
部分为nlockmgr
(rpc.statd
) 设置 TCP 端口,格式为port=value
。或者,也可以使用/etc/modprobe.d/lockd.conf
文件中的nlm_tcpport
选项。 -
在
[lockd]
部分为nlockmgr
(rpc.statd
) 设置 UDP 端口,格式为udp-port=value
。或者,您可以使用/etc/modprobe.d/lockd.conf
文件中的nlm_udpport
选项。
-
在
验证
列出 NFS 服务器中的活跃端口和 RPC 程序:
$ rpcinfo -p