linux NFS 服務安全加固方法

更新時間：2018年02月23日 23:51:41 投稿：mdxy-dxy

NFS（Network File System）是 FreeBSD 支持的一種文件系統(tǒng)，它允許網(wǎng)絡中的計算機之間通過 TCP/IP 網(wǎng)絡共享資源。不正確的配置和使用 NFS，會帶來安全問題,需要的朋友可以參考下

NFS（Network File System）是 FreeBSD 支持的一種文件系統(tǒng)，它允許網(wǎng)絡中的計算機之間通過 TCP/IP 網(wǎng)絡共享資源。不正確的配置和使用 NFS，會帶來安全問題。

概述

NFS 的不安全性，主要體現(xiàn)于以下 4 個方面:

缺少訪問控制機制
沒有真正的用戶驗證機制，只針對 RPC/Mount 請求進行過程驗證
較早版本的 NFS 可以使未授權用戶獲得有效的文件句柄
在 RPC 遠程調(diào)用中, SUID 程序具有超級用戶權限

加固方案

為有效應對以上安全隱患，推薦您使用下述加固方案。

配置共享目錄（/etc/exports）

使用 anonuid，anongid 配置共享目錄，這樣可以使掛載到 NFS 服務器的客戶機僅具有最小權限。不要使用 no_root_squash。

使用網(wǎng)絡訪問控制

使用安全組策略或 iptable 防火墻限制能夠連接到 NFS 服務器的機器范圍。

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

賬號驗證
使用 Kerberos V5 作為登錄驗證系統(tǒng)，要求所有訪問人員使用賬號登錄，提高安全性。

設置 NFSD 的 COPY 數(shù)目

在 Linux 中，NFSD 的 COPY 數(shù)目定義在啟動文件 /etc/rc.d/init.d/nfs 中，默認值為 8。

最佳的 COPY 數(shù)目一般取決于可能的客戶機數(shù)目。您可以通過測試來找到 COPY 數(shù)目的近似最佳值，并手動設置該參數(shù)。

選擇傳輸協(xié)議

對于不同的網(wǎng)絡情況，有針對地選擇 UDP 或 TCP 傳輸協(xié)議。傳輸協(xié)議可以自動選擇，也可以手動設置。

mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR

UDP 協(xié)議傳輸速度快，非連接傳輸時便捷，但其傳輸穩(wěn)定性不如 TCP，當網(wǎng)絡不穩(wěn)定或者黑客入侵時很容易使 NFS 性能大幅降低，甚至導致網(wǎng)絡癱瘓。一般情況下，使用 TCP 的 NFS 比較穩(wěn)定，使用 UDP 的 NFS 速度較快。

在機器較少，網(wǎng)絡狀況較好的情況下，使用 UDP 協(xié)議能帶來較好的性能。
當機器較多，網(wǎng)絡情況復雜時，推薦使用 TCP 協(xié)議（V2 只支持 UDP 協(xié)議）。
在局域網(wǎng)中使用 UDP 協(xié)議較好，因為局域網(wǎng)有比較穩(wěn)定的網(wǎng)絡保證，使用 UDP 可以帶來更好的性能。
在廣域網(wǎng)中推薦使用 TCP 協(xié)議，TCP 協(xié)議能讓 NFS 在復雜的網(wǎng)絡環(huán)境中保持最好的傳輸穩(wěn)定性。

限制客戶機數(shù)量

修改 /etc/hosts.allow 和 /etc /hosts.deny 來限制客戶機數(shù)量。