欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

linux NFS 服務安全加固方法

 更新時間:2018年02月23日 23:51:41   投稿:mdxy-dxy  
NFS(Network File System)是 FreeBSD 支持的一種文件系統(tǒng),它允許網(wǎng)絡中的計算機之間通過 TCP/IP 網(wǎng)絡共享資源。不正確的配置和使用 NFS,會帶來安全問題,需要的朋友可以參考下

NFS(Network File System)是 FreeBSD 支持的一種文件系統(tǒng),它允許網(wǎng)絡中的計算機之間通過 TCP/IP 網(wǎng)絡共享資源。不正確的配置和使用 NFS,會帶來安全問題。

概述

NFS 的不安全性,主要體現(xiàn)于以下 4 個方面:

  • 缺少訪問控制機制
  • 沒有真正的用戶驗證機制,只針對 RPC/Mount 請求進行過程驗證
  • 較早版本的 NFS 可以使未授權用戶獲得有效的文件句柄
  • 在 RPC 遠程調(diào)用中, SUID 程序具有超級用戶權限

加固方案

為有效應對以上安全隱患,推薦您使用下述加固方案。

配置共享目錄(/etc/exports)

使用 anonuid,anongid 配置共享目錄,這樣可以使掛載到 NFS 服務器的客戶機僅具有最小權限。不要使用 no_root_squash。

使用網(wǎng)絡訪問控制

使用 安全組策略 或 iptable 防火墻限制能夠連接到 NFS 服務器的機器范圍。

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

賬號驗證
使用 Kerberos V5 作為登錄驗證系統(tǒng),要求所有訪問人員使用賬號登錄,提高安全性。

設置 NFSD 的 COPY 數(shù)目

在 Linux 中,NFSD 的 COPY 數(shù)目定義在啟動文件 /etc/rc.d/init.d/nfs 中,默認值為 8。

最佳的 COPY 數(shù)目一般取決于可能的客戶機數(shù)目。您可以通過測試來找到 COPY 數(shù)目的近似最佳值,并手動設置該參數(shù)。

選擇傳輸協(xié)議

對于不同的網(wǎng)絡情況,有針對地選擇 UDP 或 TCP 傳輸協(xié)議。傳輸協(xié)議可以自動選擇,也可以手動設置。

mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR

UDP 協(xié)議傳輸速度快,非連接傳輸時便捷,但其傳輸穩(wěn)定性不如 TCP,當網(wǎng)絡不穩(wěn)定或者黑客入侵時很容易使 NFS 性能大幅降低,甚至導致網(wǎng)絡癱瘓。一般情況下,使用 TCP 的 NFS 比較穩(wěn)定,使用 UDP 的 NFS 速度較快。

  • 在機器較少,網(wǎng)絡狀況較好的情況下,使用 UDP 協(xié)議能帶來較好的性能。
  • 當機器較多,網(wǎng)絡情況復雜時,推薦使用 TCP 協(xié)議(V2 只支持 UDP 協(xié)議)。
  • 在局域網(wǎng)中使用 UDP 協(xié)議較好,因為局域網(wǎng)有比較穩(wěn)定的網(wǎng)絡保證,使用 UDP 可以帶來更好的性能。
  • 在廣域網(wǎng)中推薦使用 TCP 協(xié)議,TCP 協(xié)議能讓 NFS 在復雜的網(wǎng)絡環(huán)境中保持最好的傳輸穩(wěn)定性。

限制客戶機數(shù)量

修改 /etc/hosts.allow /etc /hosts.deny 來限制客戶機數(shù)量。

/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny

改變默認的 NFS 端口
NFS 默認使用的是 111 端口,使用 port 參數(shù)可以改變這個端口值。改變默認端口值能夠在一定程度上增強安全性。

配置 nosuid 和 noexec
SUID (Set User ID) 或 SGID (Set Group ID) 程序可以讓普通用戶以超過自己權限來執(zhí)行。很多 SUID/SGID 可執(zhí)行程序是必須的,但也可能被一些惡意的本地用戶利用,獲取本不應有的權限。

盡量減少所有者是 root,或是在 root 組中卻擁有 SUID/SGID 屬性的文件。您可以刪除這樣的文件或更改其屬性,如:

使用 nosuid 選項禁止 set-UID 程序在 NFS 服務器上運行,可以在 /etc/exports 加入一行:

/www www.abc.com(rw, root_squash, nosuid)

使用 noexec 禁止直接執(zhí)行其中的二進制文件。

相關文章

  • 在Linux中如何列出和刪除Iptables防火墻規(guī)則

    在Linux中如何列出和刪除Iptables防火墻規(guī)則

    當涉及到網(wǎng)絡安全時,防火墻是一個至關重要的組成部分,Iptables是一種常用的防火墻解決方案,可以幫助管理員保護他們的系統(tǒng)免受惡意攻擊,本文將詳細介紹如何列出和刪除Iptables防火墻規(guī)則,以幫助您更好地管理系統(tǒng)的安全性
    2023-06-06
  • 詳解Apache SkyWalking 告警配置指南

    詳解Apache SkyWalking 告警配置指南

    這篇文章主要介紹了Apache SkyWalking 告警配置指南,本文給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-04-04
  • Linux如何啟動SELinux

    Linux如何啟動SELinux

    這篇文章主要介紹了Linux如何啟動SELinux問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2024-02-02
  • Jexus開機自動啟動配置方法

    Jexus開機自動啟動配置方法

    這篇文章主要為大家詳細介紹了Jexus開機自動啟動的配置方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-06-06
  • Linux修改網(wǎng)卡名稱、主機名的方法

    Linux修改網(wǎng)卡名稱、主機名的方法

    本篇文章主要介紹了Linux修改網(wǎng)卡名稱、主機名的方法,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2017-08-08
  • Linux下tcpdump命令解析及使用詳解

    Linux下tcpdump命令解析及使用詳解

    這篇文章主要介紹了Linux下tcpdump命令解析及使用詳解,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2020-07-07
  • 解決ubuntu安裝軟件時,status-code=409報錯的問題

    解決ubuntu安裝軟件時,status-code=409報錯的問題

    這篇文章主要介紹了解決ubuntu安裝軟件時,status-code=409報錯的問題,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-12-12
  • SSM項目頻繁打成war包部署,使用tomcat和maven實現(xiàn)熱部署配置

    SSM項目頻繁打成war包部署,使用tomcat和maven實現(xiàn)熱部署配置

    這篇文章主要介紹了SSM項目頻繁打成war包部署操作頻繁?使用tomcat和maven實現(xiàn)熱部署配置,本文給大家介紹的非常詳細,具有一定的參考借鑒價值,需要的朋友可以參考下
    2019-11-11
  • Linux與Windows編碼不一致的解決方案

    Linux與Windows編碼不一致的解決方案

    本篇文章給大家總結(jié)了Linux與Windows編碼不一致的解決方法以及相關注意點,有需要的朋友參考下。
    2018-03-03
  • centos查找已安裝的jdk路徑的方法

    centos查找已安裝的jdk路徑的方法

    本篇文章主要介紹了centos查找已安裝的jdk路徑的方法,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2017-10-10

最新評論