Linux下的NFS快速配置教程与安全策略

1、1、nfs原理nfs比较复杂，包括很多组件，通过特殊的协议进行交互。不同的纽件在操作系统当中都使用不同的 配置文件以及状态文件。下图说明了 nfs的主要组件及配置文件。s t xtdlmountd rquot.dserveriecc/expcrtslocm qciodht5扳务器rpcmttrrtclockd rpciodkfsgpmcli enttxtd/elc/fst ab图网络文件系统原理示意图nfs分为服务器和客户机两部分，每个主机都有自己的内核级服务：外部数据表示(xdr, external data representation)>远程过程调川(rpc, remote pro

2、cedure call)> i/o监控程序和锁监控程序。每个主机还有 (=己的用户级服务。内核级服务和用户级服务都依赖于主机的功能:nfs客户机或者是nfs服务器。当然， 还要依赖丁每个主机使川的不同功能的配置文件(如果是服务器，则川的是/ctc/cxports配置文件，如果是 客户机，则用的是/etc/fstab配置文件)。如果一台主机既是服务器乂是客户机，那么它需要运行两个部分 的服务。在服务器端，portmap> mountd> nfsd三个监控程序将在后台运行。portmap监控程序用來注册基于 rpc的服务。当一个rpc的监控程序启动的时候，它告诉portmap监控

3、程序它在哪一个端口进行侦听，并 且它在进行什么样的rpc服务。当一个客户机向服务器提出一个rpc请求，那么它就会和portmap监控程 序取得联系以确定rpc消息应该发往的端口廿。而mountd监控程用的功能是來读取服务器端的/etc/exportfs 文件并h创建一个将服务器的本地文件系统导出的丄机和网络列表，因而客户机的挂接(mount)请求都被定 位到moumd监控程序(daemon)o当验证了服务器确实具有挂接所请求的文件系统的权限以后，mountd为 请求的挂接点返回一个文件句柄。而nfsd临控程序则被服务器川来处理客户机端发过来的请求，由丁-服务 器需要同时处理多个客户机的请求，所

4、以在缺省情况下，在linux当中将会自动启动八个nfsd线程。当然， 如果nfs服务器特别忙的时候，系统有可能根据实际情况启动三十个线程。2、nfs安装在网络环境 使用yum安装nfs的命令如卜 1#yum -y install nfs3、nfs配置和使用在安装好nfs后，需要对其进行配置才能正常使用，主要包括服务器配置和客户机配習两个步骤，下 而详细对它们加以说明。服务器配置编w/etc/exports,在文件中列出，要共享的目录。书写规则是：共享目录主机(参数)。并且每条规则占 据一行。例如：/mnt/mp3 192 168 10 168(ro,sync, no_root_squash)上

5、面的规则代农将/mnt/mp3目录以读写同步方式共亨给主机i92.168.10.168。如果登陆到nfs主机的 用户是roo，那么该用户就具有nfs主机的root用户的权限。具体的可选参数如下所示：1. rw：可读写的权限2. ro：只读的权限3. no_root_squash：登入到nfs主机的用户如果是root用户，他就拥有root的权限4. root_squash：在登入nfs主机使川目录的使川者如果是root时，那么这个使用者的权限将被压缩成为匿 名使用者，通常他的uid与gid都会变成nobody那个身份5. all_squash：不管登陆nfs主机的用户是什么都会被重新设定为nob

6、ody6. anonuid：将登入nfs主机的用八都设定成指定的userid,此id必须存在于/etc/passwd中7. anongid:同 anonuid,但是变成 groupid 就是了& sync资料同步写入存储器中9. async：资料会先暂时存放在内存中，不会直接写入硬盘10. insecure允许从这台机器过来的非授权访问客户机配置客户机配置相对简单，只需要使用下述命令mount nfs文件系统即可：#mount -t nfs 192 168.10.168:/home /mnt/mp3上述命令将远程的共亨h录挂接到木地的/home目录下，用户口j以直接对该目录进行操作，从

7、而获取 远程的共享资源。启动nfs服务#service portmap start# service nfs start下面通过一个具体的例子來介绍nfs的安全性配置。假设在某个网站上有某个h录名为/popgame目录 可以开放给nfs客户机来进行下载共享等工作，而这台服务器的ip地址为：202.168.10.8,它可以开放h 录给的主机的ip地址为202.168.10.10. 202.168.10.13 (当然可以提供给更多的服务器,而且他们的ip地址 也可以各式各样，现在举的例f有点像局域网中的情况，不过原理相同)。那么我们首先就船要对服务器 端的/etc/exports文件进行编写：我们

8、先进入目录/etc,然后vi exports,那么就会进入到该文件的编辑界面，我们输入如下的内容：/popgame 202.168.10.10 (ro) 202.168.10.13(ro)我们可以清楚的看到，目录/popgame只能导出到ip地址为上述的客户机上，而且他们的权限也只能是 只读，因为他们只是需要简单的共享下载游戏的功能，并不需要具备创建目录、修改文件的功能，而几如 果提供了的话，那将会出现安全隐患。下面接着配置客户机的/ctc/fstab文件，进入该文件你将需要加入如 下的内容，原文件上已经有的内容不要随意更改，否则会影响系统配置，影响文件系统：202.168.10.8: /po

9、pgame /mnt/game nfs ro 0 0其中的/mnt/game目录是你要将服务器上的/popgame h录挂接到你的客户机上的木地h录,也就是说， 当共享了 nfs文件系统以后，你可以通过访问本地h录/mnt/game来访问共享的文件。因为现在有两台客 户机，所以每一台上都耍如上配置。配置完成以后，就需要在客户机上将服务器的nfs挂接到本地客户机上了，命令如下所示：mount -t nfs 202.168.108: /popgame /mnt/game特别需要注意的是：在执行命令z前，你必须先要关掉本地客戸机上的防火墙，否则也不会挂接成功。 原因是防火墙将会阻碍远程过程调用。现在

10、你就可以放心的使用远程的网络资源了。最后，我们介绍一下使用中需要注意的安全问题。4、使用中需要注意的安全问题通常來说，我们要保护好nfs,首先就要关闭最大的漏洞。在操作系统当中，当系统启动的时候，将 会有很多的后台系统服务程序在运行，而h有些端口是缺省打开的。如果不对这种情况进行处理的话，一 方面会不必要的消耗大量系统资源，另一方面则会给我们的系统带來安全隐患。因此，我们要保护nfs, 必须解决好如下问题：要考虑好总体的安全，拒绝所有的访问，只有在需要的时候才提供访问。也就是说，不要把nfs导 出到任何卞机，而只应该将它导出到所腑要的卞机，尤其是避免将文件系统导出到不信任的卞机。并且要 尽量使

11、用只读(ro)权限导出文件系统,尽量不要使用(rw)或者是(no_root_squash)权限;不要捉供太多的根用户账号。特别要注意保证任何用户都没冇nfs客户机的根用户账号，因为如果 具有的话，那么该客户机将会具有域高的权限，将会引起很大的安全问题，它可以修改任何它想修改的东 西，这显然是不安全的。而且应该在nfs服务器上使用(root_squash)和(ro)选项；尽量使川限制性的nfs客户机方挂接选项，川只读(ro)选项挂接文件系统，除非确实有必要，要不 然不要允许设置uid二进制文件(nosuid)、设备(nodev)和执行文件(noexec)。要严格地控制好导出的冃录文件。这主耍包括

12、导出的数量以及导出的安全选项。导出的数彊依据实 际情况而定，避免到处过多的和不必要的选项。另外，要严格地控制好导出的安全选项，安全选项就是上 而所描述的只读(。)、可写(nv)、根用户挤压got_sqiiash)等选项，这样做就可以使得每个冃录都有各自的 访问权限，而通常情况下这样也是很介理的，因为所冇要导出的目录访问权限都是一样的，这几乎是不町 能的。比如说，现在nfs服务器上冇三个目录需耍导出，一个是/popmusic» 一个是/doc,而一个是/digest。 这三个目录当中，第一个目录和第三个目录不但允许客户机共享，而h允许客户机上载自己的文件，但是 第二个只允许读取，这样第一个和第三个目录的访问权限就要设为rw,而第二个则只能设为ro。在导出的文件系统下的目录的设置过程当中应当耍注盘一些控制的问题。通常情况下，应该耍将访 问权限一致的目录和文件作为父目录、子目录，而访问权限不一致的就另开一个目录进行导出，这实际上 就是一个管理的粒度问题。举个例子，现有四个目录要进行导出，它们依次是/direct 1、/direcl2 >/direct3、 /dircct4。其中前两个目录的访问权限是只读，而后面两个是可读写，那么，我们在导出的时候