信创服务器操作系统（银河麒麟版）-安全与网络服务 课件 项目9 部署银河麒麟高级服务器操作系统NFS服务

项目9部署银河麒麟高级服务器

操作系统NFS服务信创服务器操作系统（麒麟版）——安全与网络学习目标了解NFS服务掌握NFS服务的定义、作用及应用场景,理解其在网络环境中的重要性掌握工作原理深入理解NFS服务的工作原理及核心机制,包括RPC协议的作用部署与配置掌握NFS服务的部署与配置方法,包括服务器端和客户端的完整设置项目背景天网工作室的需求天网工作室计划在基于银河麒麟高级服务器操作系统的网络环境中部署NFS服务,以实现高效的文件共享。核心要求:在服务器上配置NFS服务端,共享指定目录允许特定主机(IP为0)以读写权限访问并映射root权限其他主机以只读权限访问配置客户端访问NFS共享目录确保文件共享的稳定性和安全性项目实施方案01服务器端部署在服务器上部署NFS服务,配置共享目录并设置访问权限02客户端配置在客户端配置NFS访问,挂载共享目录以实现文件访问03验证与测试验证NFS服务的运行状态,确保权限设置和文件共享功能正常NFS概述什么是NFS?网络文件系统NFS(NetworkFileSystem,网络文件系统)是一种分散式文件协议,它允许不同机器和操作系统之间通过网络共享数据。核心功能:让应用程序能够通过网络访问存储在服务器磁盘上的数据。工作模式:采用服务器/客户端工作模式,服务器提供数据存储和管理,客户端负责访问这些数据。RPC协议的关键作用RPC机制RPC(RemoteProcedureCall,远程过程调用)是一种机制,允许客户端执行其他系统中的程序。传输协议支持NFS本身不提供信息传输的协议和功能,它能够实现基于网络的资料共享,正是因为NFS使用了RPC提供的传输协议。应用程序基础可以说,NFS就是基于RPC的一个应用程序,RPC为NFS提供了必要的网络通信支持。NFS网络架构示例如图所示,NFS服务器通过以太网与两台客户端PC1和PC2相连。服务器共享的输出目录为/etc/public,而客户端PC1挂载到/mnt/nfs,PC2挂载到/home/shared。这清晰地展示了NFS服务如何在网络中实现文件共享和数据访问。NFS工作流程NFS服务工作流程详解1.RPC服务启动服务器端启动RPC服务,开放111端口,这是RPC通信的标准端口2.NFS服务启动服务器端启动NFS服务,在RPC注册端口信息,使NFS能够通过RPC与客户端通信3.客户端请求客户端启动RPC服务,向服务器的RPC服务请求NFS的端口信息4.端口信息反馈服务器端的RPC服务反馈NFS服务的端口信息给客户端5.建立连接传输客户端使用获取的端口信息建立NFS连接,进行数据传输,实现文件访问和共享RPC守护进程在NFS服务的运行中,RPC守护进程扮演着关键角色。为了正常运行NFS服务,至少需要启动以下三个系统守护进程:nfsd守护进程功能:基本的NFS守护进程,主要负责管理客户端是否能够登录服务器作用:处理客户端对NFS服务器的文件访问请求,执行相关的权限检查,确保只有合法和授权的客户端可以访问mountd守护进程功能:RPC的安装守护进程,负责管理NFS的文件系统作用:通过读取NFS配置文件(/etc/exports),对比客户端权限,进行文件使用权限的验证,控制对NFS共享文件的访问rpcbind守护进程功能:主要负责进行端口映射工作作用:当客户端尝试连接并使用RPC服务器提供的服务时,rpcbind将管理的与服务对应的端口提供给客户端,是RPC服务发现的关键组件NFS软件包组成RPC主程序:rpcbindrpcbind服务在RPC服务的体系中扮演着重要角色,负责进行端口映射(portmapping)工作。关键特性:在启动任何RPC服务之前,为其分配合适的端口必须首先启动rpcbind服务确保RPC服务能在指定端口上正确监听NFS主程序:nfs-utilsnfs-utils软件包提供了NFS服务所需的核心守护进程。包含内容:rpc.nfsd和rpc.mountd守护进程相关的文档和说明文件执行文件等确保NFS服务的顺利运行和管理NFS配置文件:/etc/exports在银河麒麟高级服务器操作系统中,NFS服务器的主要配置文件是/etc/exports。这个文件定义了哪些目录可以被客户端挂载,以及客户端对这些目录的访问权限。1配置文件结构基本格式:<共享目录的绝对路径><客户端>(<选项>)示例:/share/24(ro)表示/share目录被共享给/24网段的所有主机,访问权限是只读(ro)2客户端资源查询客户端可以使用/usr/sbin/showmount命令查询服务器上共享的资源showmount命令主要用于NFS客户端,可以显示NFS服务器上所有共享出来的目录资源3服务器端资源导出exportfs命令用于NFS服务器端,主要用于管理和导出共享目录在配置和管理NFS服务的过程中,exportfs命令发挥着关键作用exportfs命令详解exportfs命令主要用于处理/etc/exports文件中定义的NFS共享目录。通过这个命令,管理员可以管理NFS服务器所共享的目录,包括添加、删除或修改共享设置。-a选项输出/etc/exports文件中设置的所有目录,可以快速地将所有定义的共享目录一次性使之生效-r选项重新读取/etc/exports文件中的设置,并使这些设置立即生效,无需重启NFS服务-v选项在输出目录时将目录的详细信息显示到屏幕上,用于确认当前共享目录的状态和设置示例命令:exportfs-rv用于重新读取并应用/etc/exports文件中的配置更改,并提供详细的输出信息NFS服务部署服务部署准备工作部署NFS服务之前,需要进行一系列准备工作,确保服务能够顺利安装和运行。这些准备工作包括网络设置和软件安装。网络准备确保NFS服务器具有静态IP地址,这是关键的一步,因为客户端将通过此IP地址访问NFS服务器上的共享资源软件安装安装rpcbind和nfs-utils软件包,这些是NFS服务运行的基础组件配置静态IP地址查看当前网络配置使用ifconfig命令查看当前网络配置示例:当前网卡为ens33,IP为36修改临时IP地址使用ifconfig命令修改临时地址,使改变即时生效,但重启后会恢复命令示例:ifconfigens330修改配置文件编辑网络配置文件,设置永久生效的静态IP配置参数:BOOTPROTO=static,IPADDR,NETMASK,GATEWAY重启网络服务重启网络服务使配置生效,验证IP地址已更改为0网络配置参数说明配置参数说明BOOTPROTO=static告诉系统使用静态IPIPADDR设置静态IP地址NETMASK设置网络子网掩码GATEWAY设置默认网关提示:如果要立即更改且永久生效,临时修改和配置文件修改两种方式同时使用安装必需软件包安装rpcbindrpcbind软件是NFS服务运行的先决条件,负责RPC服务的端口映射,这对于NFS服务的网络通信至关重要。yuminstallrpcbind安装nfs-utilsnfs-utils软件包含了运行NFS服务所需的所有主要工具和守护进程,包括nfsd、mountd等。yuminstallnfs-utilsNFS服务配置详解在银河麒麟高级服务器操作系统中配置NFS服务是确保其正确运行的关键步骤。NFS服务的配置主要围绕/etc/exports文件进行,该文件指定了哪些目录可以被客户端访问,以及这些访问的条件。配置文件格式<共享目录的绝对路径><客户端地址1>(<选项>)<客户端地址2>(<选项>)...客户端地址与选项之间没有空格客户端地址类型支持指定IP地址、子网、域名、通配符等多种格式权限选项设置包括访问权限、用户映射、同步选项等多种配置客户端地址格式客户端地址说明0指定IP地址的主机/24指定子网中的所有主机192.168.0.*使用通配符指定子网指定域名的主机*.指定域中的所有主机*或省略所有主机NFS访问权限选项50%ro(只读)设置输出目录只读,保护共享目录不被意外修改50%rw(读写)设置输出目录可读写,允许客户端读取和修改共享目录中的文件正确配置这些权限选项对于确保NFS服务的安全性和高效性至关重要。它们使得管理员可以根据特定场景和需求灵活地设置共享资源的访问控制。用户映射选项用户映射选项说明all_squash将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(nobody)no_all_squash不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认)root_squash将root用户及所属用户组都映射为匿名用户或用户组(默认)no_root_squash不将root用户及所属用户组都映射为匿名用户或用户组anonuid=xxx将远程访问的所有用户都映射为匿名用户,并指定该匿名用户账户为本地用户账户(UID=xxx)anongid=xxx将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx)其他访问选项secure/insecuresecure:限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置)insecure:允许客户端从大于1024的TCP/IP端口连接NFS服务器sync/asyncsync:将数据同步写入内存缓冲区与磁盘中,虽然效率较低,但可以保证数据的一致性async:将数据先保存在内存缓冲区中,必要时才写入磁盘wdelay/no_wdelaywdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,提高效率(默认设置)no_wdelay:若有写操作则立即执行,应与sync配合使用subtree_check/no_subtree_checksubtree_check:若输出目录是一个子目录,则NFS服务器将检查其父目录的权限(默认设置)no_subtree_check:即使输出目录是一个子目录,NFS服务器也不检查其父目录的权限,可提高效率配置示例以下是一个完整的NFS配置示例,展示如何设置共享目录和权限:#创建共享目录mkdir/share#设置目录权限chmod777/share#编辑配置文件vim/etc/exports配置文件内容:/share/24(rw,sync,no_root_squash)此配置表示将/share目录设置为/24子网范围内所有IP地址都可以共享访问,且都允许读写,开启同步,赋予root权限。配置参数解释客户机地址可以是主机名、IP地址、网段地址,允许使用"*"、"?"通配符rw/ro"rw"表示允许读写,"ro"表示只读sync表示同步写入到内存与硬盘中no_root_squash表示当客户机以root身份访问时赋予本地root权限(默认是root_squash)root_squash表示客户机用root用户访问该共享目录时,将root用户映射成匿名用户NFS服务启动流程在银河麒麟高级服务器操作系统中,启动NFS服务是一个简洁而直接的过程,涉及几个关键步骤。1启动RPC守护进程首先需要启动RPC守护进程,rpcbind服务负责RPC网络服务的端口映射systemctlstartrpcbind2启动NFS服务启动NFS服务器守护进程,使服务器开始监听来自客户端的NFS请求systemctlstartnfs-server3设置开机自启动确保NFS服务在系统启动时自动运行,无须手动干预systemctlenablenfs-server安全设定在银河麒麟高级服务器操作系统中,确保NFS服务的安全运行是至关重要的。安全设定主要包括配置防火墙以允许NFS服务和适当的SElinux策略设定。防火墙设定配置防火墙放行NFS服务:firewall-cmd--permanent--add-service=nfs重新装载防火墙配置文件:firewall-cmd--reload此操作确保新的防火墙设置立即生效,为NFS服务的网络通信提供了必要的保障。SElinux设定SElinux(Security-EnhancedLinux)是一个重要的安全模块,它提供了基于策略的安全机制来控制程序的访问权限。为了NFS服务的顺利运行,可能需要调整SElinux的策略或模式。注意:关闭SElinux会降低系统的安全性,因此必须谨慎操作,并在了解相关风险的情况下进行。任务实施任务9-1:NFS服务器配置任务规划配置并启动银河麒麟高级服务器操作系统作为NFS服务端,允许某一台主机读写并且映射root权限,其他主机为只读。01安装必要软件安装nfs-utils和rpcbind软件包02配置网络环境配置NFS服务器的网络环境,设置静态IP地址03配置共享目录编辑/etc/exports文件,设置共享目录和权限04启动服务启动RPC和NFS服务,并设置开机自启动任务9-1实施步骤(1):软件安装1.相关软件安装安装命令:yuminstallnfs-utilsyuminstallrpcbind检查安装:通过以下指令查看是否安装了rpcbind程序与nfs-utils程序:rpm-qa|grepnfsrpm-qa|greprpcbind执行这些命令后,系统会显示已安装的相关软件包信息,确认软件已正确安装。任务9-1实施步骤(2):配置文件编辑2.NFS配置文件修改/etc/exports的配置,该文件不一定存在,若不存在则手动创建。配置内容:/share0(rw,sync,no_root_squash)/24(ro)配置说明:只允许0这台主机读写,并赋予root权限其他/24网段的主机为只读权限rw表示读写权限,ro表示只读权限sync表示同步写入no_root_squash表示赋予root权限任务9-1实施步骤(3):确认共享服务3.确认NFS共享服务配置完成后,需要确认NFS共享服务是否正常工作。使用exportfs命令:exportfs-rv此命令会重新读取/etc/exports配置文件,并使配置立即生效,同时显示详细的输出信息。查看共享目录:exportfs-v此命令会显示当前所有共享目录的详细信息,包括共享路径、客户端地址和权限设置。通过这些命令的输出,可以验证NFS共享服务已经正确配置并正常运行。任务9-1实施步骤(4):启动服务4.启动NFS相关服务启动RPC服务:systemctlstartrpcbind启动NFS服务:systemctlstartnfs-server设置开机自启动:systemctlenablerpcbindsystemctlenablenfs-server检查服务状态:systemctlstatusrpcbindsystemctlstatusnfs-server确保两个服务都处于active(running)状态,表示服务已成功启动并正在运行。任务9-1实施步骤(5):防火墙配置5.配置防火墙添加NFS服务到防火墙:firewall-cmd--permanent--add-service=nfs添加RPC服务到防火墙:firewall-cmd--permanent--add-service=rpc-bind添加挂载服务到防火墙:firewall-cmd--permanent--add-service=mountd重新加载防火墙配置:firewall-cmd--reload验证防火墙规则:firewall-cmd--list-all通过这些步骤,确保防火墙不会阻止NFS服务的网络通信,同时保持系统的安全性。任务9-1完成验证验证NFS服务器配置1检查共享目录使用showmount命令从本地检查共享目录:showmount-elocalhost应该能看到/share目录已被共享2检查服务状态确认所有相关服务都在运行:systemctlstatusrpcbindsystemctlstatusnfs-server3检查端口监听验证NFS相关端口是否正在监听:netstat-tulnp|grep-E'(rpc|nfs)'完成以上验证步骤后,NFS服务器配置任务完成,可以开始配置客户端。任务9-2:NFS客户端配置任务规划配置NFS客户端是实现网络文件共享的关键环节。在银河麒麟高级服务器操作系统中配置NFS客户端,访问NFS服务器的共享目录,并实现手动和自动挂载。安装客户端软件安装客户端所需软件并启动相关服务测试连接测试NFS服务器连接并挂载共享目录配置自动挂载配置自动挂载以提升访问效率任务9-2实施步骤(1):安装软件1.安装所需软件在客户端系统上安装必要的NFS客户端软件包:yuminstallrpcbindyuminstallnfs-utilsyuminstallnfs-common软件包说明:rpcbind:RPC端口映射服务,NFS通信的基础nfs-utils:NFS客户端工具集nfs-common:NFS通用工具和库文件安装完成后,验证软件包是否正确安装:rpm-qa|grep-E'(rpcbind|nfs)'任务9-2实施步骤(2):启动服务2.启动RPC守护进程和NFS客户端服务启动RPC服务:systemctlstartrpcbind启动NFS客户端服务:systemctlstartnfs-client.target设置开机自启动:systemctlenablerpcbindsystemctlenablenfs-client.target验证服务状态:systemctlstatusrpcbindsystemctlstatusnfs-client.target确保服务处于active状态,表示客户端已准备好连接NFS服务器。任务9-2实施步骤(3):测试连接3.使用showmount命令测试NFS服务器命令格式:showmount[选项][NFS服务器地址]常用选项:-e:显示NFS服务器的共享目录列表-a:显示所有客户端主机及其挂载的目录-d:显示NFS服务器上被挂载的目录测试示例:showmount-e0此命令会显示NFS服务器(0)上所有可用的共享目录及其访问权限。如果能看到/share目录及其权限信息,说明客户端可以成功连接到NFS服务器。任务9-2实施步骤(5):测试权限5.测试读写权限在0主机上测试(应有读写权限):#创建测试文件echo"Testfrom0">/mnt/nfs_share/test.txt#读取文件cat/mnt/nfs_share/test.txt#删除文件rm/mnt/nfs_share/test.txt在其他主机上测试(应只有只读权限):#尝试创建文件(应该失败)echo"Test">/mnt/nfs_share/test.txt#读取文件(应该成功)ls-la/mnt/nfs_share/通过这些测试,验证NFS服务器的权限配置是否正确工作。任务9-2实施步骤(6):开机自动挂载6.修改/etc/fstab实现开机自动挂载配置格式:[NFS服务器地址]:[共享目录][本地挂载点]nfs[选项]00编辑/etc/fstab文件:vim/etc/fstab添加以下内容:0:/share/mnt/nfs_sharenfsdefaults00常用挂载选项:defaults:使用默认选项(rw,suid,dev,exec,auto,nouser,async)rw:读写模式挂载ro:只读模式挂载soft:软挂载,超时后返回错误hard:硬挂载,一直重试直到成功重新加载配置文件:mount-a此命令会根据/etc/fstab文件中的配置挂载所有文件系统,验证配置是否正确。任务9-2实施步骤(7):配置autofs(1)7.配置autofs实现自动挂载autofs是一种更智能的自动挂载解决方案,它可以在需要时自动挂载文件系统,在不使用时自动卸载,节省系统资源。步骤1:安装autofs服务yuminstallautofs步骤2:启动autofs服务systemctlstartautofssystemctlenableautofs步骤3:配置文件说明主配置文件:/etc/auto.master-定义自动挂载点的主配置映射文件:/etc/auto.misc或自定义映射文件-定义具体的挂载规则任务9-2实施步骤(8):配置autofs(2)配置autofs主配置文件和映射文件步骤4:编辑主配置文件/etc/auto.mastervim/etc/auto.master添加以下内容:/mnt/auto/etc/auto.nfs--timeout=60此配置表示:/mnt/auto:自动挂载的基础目录/etc/auto.nfs:映射文件路径--timeout=60:60秒无访问后自动卸载步骤5:创建并编辑映射文件/etc/auto.nfsvim/etc/auto.nfs添加以下内容:nfs_share-fstype=nfs,rw0:/share此配置表示:nfs_share:挂载点名称(最终路径为/mnt/auto/nfs_share)-fstype=nfs,rw:文件系统类型为NFS,读写模式0:/share:NFS服务器地址和共享目录任务9-2完成验证客户端配置验证清单1软件安装验证确认所有必需软件包已正确安装rpm-qa|grep-E'(rpcbind|nfs|autofs)'2服务状态验证确认所有相关服务正在运行systemctlstatusrpcbindnfs-client.targetautofs3连接测试验证确认能够查看服务器共享目录showmount-e04挂载功能验证确认手动挂载和自动挂载都能正常工作mount|grepnfs5权限测试验证确认读写权限按配置正确工作完成以上所有验证步骤后,NFS客户端配置任务完成。NFS部署最佳实践安全性考虑使用防火墙规则限制访问,合理配置用户映射选项,定期审查访问日志,考虑使用Kerberos认证增强安全性性能优化根据网络环境选择合适的rsize和wsize参数,使用async选项提高写入性能(注意数据一致性),考虑使用NFSv4以获得更好的性能备份策略定期备份NFS配置文件,为共享目录制定备份计划,测试备份恢复流程,保持配置文档的更新监控维护监控NFS服务状态和性能指标,定期检查磁盘空间使用情况,及时更新系统和NFS软件包,记录配置变更和问题解决方案常见问题与解决方案问题1:客户端无法查看共享目录可能原因:NFS服务未启动防火墙阻止了NFS端口/etc/exports配置错误解决方案:检查服务状态,验证防火墙规则,确认配置文件语法正确问题2:挂载时提示权限拒绝可能原因:客户端IP不在允许列表中共享目录权限设置不正确SELinux策略限制解决方案:检