澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站设置配置nfs,进步NFS服务器

2019-10-12 作者:服务器运维   |   浏览(149)

NFS是互连网文件系统Network File System)的简称,是布满式总结系统的二个组成都部队分,可完毕在异种互联网上分享和装配远程文件系统。NFS由Sun公司支付,方今已经形成文件服务的一种规范RAV4FC一九〇〇,ENCOREFC1813)。其最大的功用正是可让差异操作系统的微管理器分享数据,所以也足以将它看做是四个文件服务器。NFS提供了除SAMBA之外,Windows与Linux、Unix与Linux之间通讯的诀窍。

CentOS 6.7 安装配置nfs 服务

NFS是Network File System的缩写,即网络文件系统。它功能是经过网络让不一致的机器、区别的操作系统能够互为共享各自的数额,让应用程序在客商端通过互连网访谈位于服务器磁盘中的数据。

NFS在文件传送或信息传递进度中依据于RPC磋商。RPC:远程进程调用(Remote Procedure Call)是能使顾客端推行其他系统中等射程序的一种机制。NFS自身是从未提供音信传输的斟酌和效用的,但NFS却能让我们透过网络进行材料的享用,那是因为NFS使用了部分其余的传导合同。而那么些传输公约用到那个RPC成效的。能够说NFS本人正是使用RPC的多少个程序。只怕说NFS也是一个RPC SE智跑VE昂Cora。所以如果利用NFS的地点都要开动RPC服务,不论是NFS SEWranglerVE昂科拉或然NFS CLIENT。那样SE纳瓦拉VE大切诺基和CLIENT手艺通过RPC来落实PROGRAM PORT的附和。可以如此精晓RPC和NFS的关系:NFS是三个文件系统,而RPC是承受音讯的传导。

由此,我们必要设置四个软件包:nfs-utils和rpcbind,在centOS 5中rpcbind叫portmap,功能都是同样的,名字区别而已。

设置方式:yum安装

nfs服务端:balichvm(192.168.171.51)

客户端:balichos(192.168.171.50)

设置步骤:

1)、在balichvm上安装nfs-utils和rpcbind,使用yum安装,如下:

[[email protected] ~]# yum install –y nfs-utilsrpcbind

2)、在balichvm营造必要共享的目录和编辑配置文件/etc/exports(这一个文件默许未有)

[[email protected] ~]# mkdir –p /data/nfsdata

[[email protected] ~]#vim /etc/exports

/data/nfsdata/ 192.168.171.0/24 (rw,sync,root_squash)

此处的配备是分享目录/data/nfsdata/;网段192.168.171.0的主机能够有读写权限、限制root权限、同步到磁盘)

/etc/exports配置文件的格式和采纳有:

格式:共享的目录分享给那多少个网段的主机分享的权杖

选择:(分享的权位)

ro:——只读;

rw:——读写;

sync:——同步方式,内存中数据任何时候写入磁盘;

async:——不联合,把内部存款和储蓄器中数据定时写入磁盘中;

no_root_squash:——加上那几个选项后,root客户就能够对共享的目录具备至高的权力决定,就像对本机的目录操作同样。不安全,不提议选取;

root_squash:——和方面包车型地铁选项对应,root客商对共享目录的权杖不高,独有普通客户的权力,即限制了root;

all_squash:——不管选择NFS的顾客是什么人,他的身份都会被界定成为贰个点名的普通顾客身份;

anonuid/anongid:——要和root_squash以及all_squash一起使用,用于钦命使用NFS的客户限定后的uid和gid,前提是本机的/etc/passwd中留存这几个uid和gid。

3)、在balichvm配置防火墙法规,编辑/etc/sysconfig/nfs,固定服务的端口,私下认可是注释的,须要开采。

# Port rpc.mountd should listen on.

MOUNTD_PORT=892 #把后面包车型客车#号去掉

# Port rquotad should listen on.

RQUOTAD_PORT=875 #把前边的#号去掉

# TCP port rpc.lockd should listen on.

LOCKD_TCPPORT=32803 #把前边的#号去掉

# UDP port rpc.lockd should listen on.

LOCKD_UDPPORT=32769 #把前面包车型地铁#号去掉

那一个端口是计划文件暗许的,是足以活动修改扩大内需的端口号,然后保留配置文件。

下一场运维rpdbind和nfs服务:

/etc/init.d/rpcbind restart

/etc/init.d/nfs restart

劳务运行后,使用rpcinfo –p查看启用的端口。

[[email protected] ~]# rpcinfo -p

program vers proto port service

100000 4 tcp111 portmapper

100000 3 tcp111 portmapper

100000 2 tcp111 portmapper

100000 4 udp111 portmapper

100000 3 udp111 portmapper

100000 2 udp111 portmapper

100005 1 udp892 mountd

100005 1 tcp892 mountd

100005 2 udp892 mountd

100005 2 tcp892 mountd

100005 3 udp892 mountd

100005 3 tcp892 mountd

100003 2 tcp2049 nfs

100003 3 tcp2049 nfs

100003 4 tcp2049 nfs

100227 2tcp 2049 nfs_acl

100227 3 tcp2049 nfs_acl

100003 2 udp2049 nfs

100003 3 udp2049 nfs

100003 4 udp2049 nfs

100227 2 udp2049 nfs_acl

100227 3 udp2049 nfs_acl

100021 1 udp32769 nlockmgr

100021 3 udp32769 nlockmgr

100021 4 udp32769 nlockmgr

100021 1 tcp32803 nlockmgr

100021 3 tcp32803 nlockmgr

100021 4 tcp32803 nlockmgr

[[email protected] ~]#

将那么些启用的端口(tcp和udp)写到iptables防火墙里面(vim /etc/sysconfig/iptables),允许通过,如下:

-A INPUT -m state --state NEW -m tcp -p tcp--dport 111 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 892 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 2049 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 32769 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 32803 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 111 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 892 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 2049 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 32769 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 32803 -j ACCEPT

然后重启iptables服务:/etc/init.d/iptables restart

4)、在顾客端balichos上,安装nfs-utils,何况挂载balichvm共享的nfsdata目录,查看某台主机分享的nfs使用命令showmount–e ip(主机名)。

[[email protected] ~]# yum install –y nfs-utils

[[email protected] ~]# showmount -e192.168.171.51 ##翻开分享的nfs

Export list for 192.168.171.51:

/data/nfsdata 192.168.171.0/24

[[email protected] ~]#

[[email protected] ~]# mount -t nfs192.168.171.51:/data/nfsdata/ /mnt/

[[email protected] ~]# df -h

Filesystem Size Used Avail Use% Mountedon

/dev/sda3 18G 5.9G 11G 36% /

tmpfs 495M 0 495M 0% /dev/shm

/dev/sda1 190M 36M 145M 20% /boot

192.168.171.51:/data/nfsdata/ 18G 3.8G 13G 24% /mnt

这几天就曾经挂载了一个文件系统,不过由于在balichvm上/data/nfsdata的权位是755,其余客商不辜负有写的权限,而在nfs配置文件/etc/exports上又限定了root客商权限,私下认可是采用任何的客户的记名,全体不能够写入数据,唯有读取的权位。

一经急需有写入的权限,能够修改权限。

6.7 安装配备nfs 服务 NFS是Network File System的缩写,即网络文件系统。它效能是经过互连网让不相同的机器、分化的操作系统能够互为分享各...

NFS互连网文件系统左券最先是于1985年由 SUN 公司开拓的,NFSv4 是风靡的修改装订版本,2001年3月透露(EvoqueFC 3530)。由于 NFS 是贰个开花的争辩和业内,所以种种系统上的完结区别,所显示出来正是稳固和总体性差距,VPSee 的阅历是 NFS 在 Solaris 上最安定、功效最充足;在 FreeBSD 上的个性最棒,不过缺乏一些效果,比方 FreeBSD 8.0 内核才增加了 NFS 文件锁的支撑;NFS 在 Linux 上显示最相似了,所以我们到现在仍有局地服务器低调地运作着古老的 Solaris 2.5 和 NFSv3,比较 NFSv3 来说 NFSv4 做了一些首要改良,譬喻:质量的晋级、安全性的增高和 ACL,更便于与防火墙集成等。上边地操作在 CentOS 5.5 上到位。

NFS安装与铺排

NFS是古旧的磋商了,到了Linux不断更新和全面,从原先只匡助UDP,今后扶助TCP,现在到了V4版本。不过照旧不安全,最大的病痛正是不要求身份验证,也只建议在内网用一下。
NFS一方是服务方,一方是客商端。
客商端接纳须要启用portmap服务(service portmap start),不然无法联网,有成都百货上千篇章说需求启用NFS相关的劳务,其实作为客商端是不必的,portmap作为RPC接入服务就足以了。而到了CentOS6,portmap就从不了,而成为了rpcbind,暗中认可是张开的,就无需再费神管理了。
服务器端暗许是安装了,然则并未有启用。
任由portmap依然rpcbind都在互联网上监听UDP和TCP的111端口
NFS监听在UDP和TCP的2049端口,还有些动态的下面在详谈。
它的分享目录配置文件在/etc/exports,服务配置文件在/etc/sysconfig/nfs

别的互连网服务器都会有安全主题素材,NFS也不例外。由于设计方面包车型地铁因素,NFS服务器一点都不大概相对安全。常常的话,不应有将NFS服务器运营在可比灵敏的系统也许唯有类同防火墙的机械上,应该尽量将其放置防火墙之后。配置安全的NFS服务器,能够从限制RCP服务的拜谒和决定文件系统的导出权限两上边先河。

1.安装 NFS 服务器

1.         NFS安装

分享目录
/var/tmp/share 172.26.1.0/24(rw,no_all_squash)
诚如正是目录地方和许可IP地址范围加(),括号里鲜明了读写rw依然只读ro,
是规定了服务器和顾客端里Linux客商的投射关系,no_all_squash是绚烂客户和组的涉嫌,但不包涵root,all_squash映射到佚名组以至无名氏客商,就是所谓的nfsnobody,假设顾客端从未设置NFS,那么它的主人和组正是65534,其实nfsnobody就是65534,假若启用NFS服务就能够成立起组,就能自动映射出组的名字,其实最本色的便是组的以至客户的数字号码,比方root客商就是0,root组也是0。root_squash是把root映射为无名氏,no_root_squash是root映射为root,还只怕有anonuid=xxx,anongid=xxx映射为钦命的客户和组,xxx正是顾客和组的数字号码。
其他一些参数基本上用不上。譬喻:sync:将数据同步写入内部存款和储蓄器缓冲区与磁盘中,功效低,但足以保险数据的一致性;async:将数据先保存在内部存款和储蓄器缓冲区中,供给时才写入磁盘。

NFS服务器面前遭受的安全隐患

安装 NFS 服务器所需的软件包:

系统默许已经安装了NFS软件包,若是手工业安全装NFS,需求5个RPM包。

服务配置文件
其一文件通常是不进行陈设,暗中认可就足以了。
只是当启用了防火墙iptable就只可以配置了。
由此抓包能够看出,nfs的连天进程不止必要111和2049端口,还某些动态的端口,这个动态的端口在历次重运转nfs服务都会转换,iptable防火墙看可不曾那么智能能够动态的打开始口,那时候就须要固定监听的端口了。
编辑/etc/sysconfig/nfs文件
RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
自笔者没改端口号,正是把#去掉了。
重启服务
netstat -lpn | grep -v unix
tcp    0    0.0.0.0:892                0.0.0.0:*                  LISTEN      3959/rpc.mountd
tcp    0    0.0.0.0:875                0.0.0.0:*                  LISTEN      3954/rpc.rquotad
tcp    0    0 0.0.0.0:32803              0.0.0.0:*                  LISTEN      -
udp  0    0 0.0.0.0:32769              0.0.0.0:*                              -
下一场当然是布局防火墙,把那一个端口加上了。
cat /etc/sysconfig/iptables
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 32769 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 32803 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 892 -j ACCEPT
-A INPUT -p udp -m udp --dport 892 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 875 -j ACCEPT
-A INPUT -p udp -m udp --dport 875 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT

因为NFS在网络上公然传输全体音讯,依照暗中同意设置,NFS分享把根顾客改成客户nfsnobody,它是三个不具有特权的客户账号。那样,全体根客户创制的文本都会被客户nfsnobody全数,进而防守了安装setuid的次序被上传到系统。倘若接纳了no_root_squash,远程客商就能够改造分享文件系统上的另外公文,把设置了Troy木马的程序留给其余顾客,在潜意识中实行。

# yum install nfs-utils nfs4-acl-tools portmap

setup-*:          共享NFS目录在/etc/exports中定义

劳务器端
查看情状命令
nfsstat
查阅配置
exportfs
查看RPC情况
rpcinfo -p
查阅近日已经连进本机的意况
showmount -a

NFS服务器安全战术

和安装其余别的服务器软件同样,安装完 NFS 服务后就供给对 NFS 服务举办安排。输劳器端的某部目录,以便 NFS 顾客端能挂载和做客到这一个目录:

 initscripts-*:       包罗辅导进程中装载网络目录的主导脚本

客户端
一时创制命令
mount 172.26.1.73:/var/tmp/share /home/shenxu/source
172.26.1.73服务器IP
澳门新萄京官方网站设置配置nfs,进步NFS服务器的安全。/var/tmp/share服务器分享的目录
/home/shenxu/source映射到本地的目录
时代久远创建映射,编辑/etc/fstab,加多底下一行
172.26.1.73:/var/tmp/share /home/shenxu/source  nfs    defaults 0 0

1)使用TCP_Wrappers

# vi /etc/exports

 nfs-utils-*:       包蕴基本的NFS命令与监控程序

其余有些时候用showmount -a能见到平素未曾的总是,是以前线总指挥部是的印痕,重启也还会有。尽管没啥影响,然而大家追求完善,Linux基本上都以以文件方式存在的,那么这些重启以往还也有,鲜明是存在硬盘上的有些文件,它就是/var/lib/nfs/rmtab,清空必要清的品种就好。

portmap和rpc.nfsd结合起来,使NFS服务器上的文本固然未有另外权力也能便于取得。能够使用访谈调控保险互连网安全,在应用NFS时最佳结合TCP_Wrappers来界定使用限制。

/home/iso 203.166.181.64(rw,sync,fsid=0) 211.152.40.171(rw,sync,fsid=0)

 portmap-*:       援助广安NFS RPC服务的连日

--------------------------------------分割线

Ubuntu 12.04安装NFS server http://www.linuxidc.com/Linux/2012-09/70728.htm

NFS服务器安装配备完结Ubuntu 12.04与ARM文件分享 http://www.linuxidc.com/Linux/2012-10/73159.htm

Ubuntu搭建nfs服务器 http://www.linuxidc.com/Linux/2012-10/71930.htm

文本服务器NFS配置详解 http://www.linuxidc.com/Linux/2013-06/86542.htm

Ubuntu下搭建NFS网络文件系统服务器 澳门新萄京官方网站设置配置nfs,进步NFS服务器的安全。http://www.linuxidc.com/Linux/2013-07/87367.htm

Heartbeat_ldirector LB NFS达成HA及LB、文件共享 http://www.linuxidc.com/Linux/2013-06/85292.htm

CentOS 5.5布置NFS服务器教程 http://www.linuxidc.com/Linux/2013-03/81737.htm

Ubuntu 12.10下NFS的设置使用 http://www.linuxidc.com/Linux/2013-03/80478.htm

2)注意陈设文件语法错误

203.166.181.64和211.152.40.171地点的客户能够挂载 NFS 服务器上的 /home/iso 目录到温馨文件系统里;rw 在那处代表可读可写,sync 资料同步写入到内部存储器与硬盘个中,no_root_squash登陆 NFS 主机使用分享引得的使用者,要是是 root 的话,那么对于那个分享的目录来讲,他就有所 root 的权力!那些连串『极不安全』,不提议使用!

 quota-*:       网络上分享的目录分配的定额,包涵rpc.rquotad (那么些包不是必得的)

--------------------------------------分割线

更加多CentOS相关音讯见CentOS 专项论题页面 http://www.linuxidc.com/topicnews.aspx?tid=14

正文永恒更新链接地址:http://www.linuxidc.com/Linux/2015-07/120562.htm

澳门新萄京官方网站 1

NFS服务器通过/etc/exports文件来调节要导出哪些文件系统,乃至把这一个目录导出到哪边主机上。编辑那些文件的时候要特地小心,不要增添额外的空格。

把 NFS 服务投入系统运维脚本况兼手动运维 NFS 服务:

能够动用下边发号施令查看系统是不是早就安装了有个别软件包。

比方说:/etc/exports文件的以下行会使主机bob.example.com 能够分享/tmp/nfs/目录。

# chkconfig nfs on

#rpm –qa |grep setup

/tmp/nfs/ bob.example.com(rw)

# chkconfig portmap on

2.         配置NFS

可是 /etc/exports 文件中这一行的气象却不及。它分享同一目录,让主机 bob.example.com 具有只读权限,却给全局以读写权限。那全部是由主机后边的贰个空格产生的。

# /etc/init.d/portmap start

编辑/etc/exports,在文件中列出,要分享的目录。书写准绳是:(各样分享法则一行)

/tmp/nfs/

# /etc/init.d/nfs start

分享目录 主机(参数)

bob.example.com (rw)

确认 NFSv4 服务器成功运维:

例如:

动用 showmount 命令来校验哪些目录被分享,进而检查NFS分享配置是多个好习于旧贯。showmount格式为:

# rpcinfo -p

/mnt/disk1 10.167.27.207(ro,sync, no_root_squash)  *(ro)

showmount -e

program vers proto port

上面包车型地铁准绳代表将/mnt/disk1目录以读写同步方式分享给主机10.167.27.207。假使登入到NFS主机的客户是root,那么该客户就持有NFS主机的root客户的权杖。对于其他IP只同意都权限

3)使用iptables防火墙

100000 2 tcp 111 portmapper

下边是部分NFS分享的常用参数:

因为NFS在网络受骗众传输所有消息,所以让NFS服务器在防火墙后、在二个分支的平安互联网上运维就很要紧。无论哪天在不安全的互联网上传递NFS消息都有被截取的危急。从那一个角度讲,审慎制定网络安插就推动堤防重大的平安破坏。限制RCP服务拜会的章程日常是行使防火墙,除了TCP-Wrapper还会有ipchians和iptalbes的防火墙。在完善使用Linux 2.4或越来越高版本内核的前日,掌握iptables这种防火墙方法也就够用了。 缺省的情事下,portmap使用111端口,而NFS使用2049端口,能够因而iptables来界定对该端口的拜见:

100000 2 udp 111 portmapper

rw:             可读写的权力;

iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP
iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP
iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip --dport 2049 -j
ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport
2049 -j DROP

100003 2 udp 2049 nfs

 ro:             只读的权杖;

4)把开放目录范围为只读权限

100003 3 udp 2049 nfs

 no_root_squash: 登录到NFS主机的顾客只即便ROOT客商,他就有所ROOT的权位root_squash:   在登陆 NFS 主机使用目录的使用者假使是 root 时,那么那个使用者   的权力将被减去成为佚名使用者,平时她的 UID 与 GID 都会化为 nobody 这一个地点;

能够在/etc/exports文件中设定权限选项ro,平时需求把NFS服务器对顾客开放的任何目录或文件系统设置为只读访谈:

100003 4 udp 2049 nfs

 all_squash:     不管登录NFS主机的顾客是何等都会被另行设定为nobody。

/app devpc.nitec.com(ro) 那样,devpc.nitec.com网络中的顾客只可以对/app目录举行只读访问。

 anonuid:        将登录NFS主机的客商都设定成钦赐的user id,此ID必得存在于/etc/passwd中。

5)防止对有个别目录的拜见

100005 3 tcp 750 mountd

 anongid:         同 anonuid ,不过产生 group ID 正是了!

当开放多少个完全的文件系统只怕贰个索引时,缺省状态下它的子目录会自动开放访问权限。若是期望限制对其子目录的寻访能够行使noaccess访问选项,举个例子希望开放/pub目录权限但是幸免访谈/pub/staff-only子目录:

自己研讨 NFS 服务器是或不是输出大家想分享的目录/home/iso

   sync:           资料同步写入存款和储蓄器中。

/pub weblab-??.nitec.com (ro)
/pub/staff-only weblab-??.nitec.com (noaccess)

# exportfs

 async:          资料会先暂且寄放在内部存储器中,不会从来写入硬盘。

瞩目: “??”代表专断字符。

/home/iso 203.166.181.64

 insecure         允许从那台机械过来的非授权访谈。

6)root squashing访谈难题

/home/iso 211.152.40.171

3.         启动NFS

安分守己私下认可设置,root客户的客户ID和组群ID都是0。root权限压缩Root squashing)把客商ID0和组群ID0映射为佚名的客户和组群ID,因而客商上的根客户就不会在NFS服务器上具有根特权。要是那么些选项被选,root客商就不会被映射为无名氏客商,顾客上的root客户就能对导出的目录具备根特权。选用这些选项会大大减弱系统的安全性。除非相对要求,请不要挑选它。为了鲜明施行该法规,能够修改文件/etc/exports:

在乎 NFS 使用 portmap,况且新本子的 portmap 使用 hosts.deny 和 hosts.allow 文件来支配访问源,修改那2个布局文件以便 NFS 客户端能符合规律连接到服务器:

# service portmap start

/www www1.nitec.com(rw, root_squash)

# vi /etc/hosts.deny

# service nfs start

像这种类型只要顾客端的UID0root)客商想要访谈读、写、删除)贰个NFS文件系统,服务器端会用UID代替服务器的nobody账户。那样客商端的root顾客不可能改改和访谈服务器端root顾客技术访谈和修改的文书。

portmap:ALL:deny

反省NFS的运作等第:

7)使用nosuid和noexec选项

# vi /etc/hosts.allow

# chkconfig --list portmap

SUIDSet User ID)或SGIDSet Group ID)程序能够让普通用户以越过本人权力的款式举行。非常多SUID/SGID可施行程序是必得的,比方下面提到的passwd。SUID/SGID程序会被一些恶意的本地客户利用,获取本不该的权柄。运转以下命令可以找到全部具备这一品质的顺序:

澳门新萄京官方网站,portmap:127.0.0.1:allow

 # chkconfig --list nfs

#find / ( -perm -4000 -o -perm -2000 )

portmap:203.166.181.64:allow

基于要求安装在对应的周转等级自动运转NFS:

使用者必须查看这一列表,尽量收缩那多少个全部者是root或是在root组中却有所SUID/SGID属性的文书,删除或对其属性举行退换。使用nosuid选项防止set-UID程序在 NFS服务器上运转,能够修改文件/etc/exports出席一行:

portmap:211.152.40.171:allow

# chkconfig --level 235 portmap on

/www www1.nitec.com(rw, root_squash, nosuid)

2.布局NFS服务器的防火墙

 # chkconfig --level 235 nfs on

地点的例子表明:/www目录在www1.nitec.com上能够登入,www1.nitec.com的客商能够读取/www中的文件和目录,可是不可能运作set- UID程序。

NFS 用到的服务有 portmapper,nfs,rquotad,nlockmgr,mountd

另外,还索要查阅系统的iptables、/etc/hosts.allow、/etc/hosts.deny是不是设置了不易的NFS访问法则。

/www www1.nitec.com(rw, root_squash, noexec)

透过命令rpcinfo -p可查看nfs使用的端口:

  查看端口: # netstat -lnp | grep 111

地点的例证表明/www目录在www1.nitec.com上能够登入,www1.nitec.com的顾客能够读取/www中的文件和目录,然而禁止所登入文件系统中文件的实行。

澳门新萄京官方网站 2

             #netstat -lnp | grep 2049

NFS是非常首要的网络公约,许多同盟社会经济过NFS合同共享硬盘和任何设备。把能登入NFS目录设置为只读访谈、提升portmap服务的安全性、squashing root访谈、使用on set-UID 和non executable文件设置能够增长NFS服务器的长治。

当中 portmapper,nfs 服务端口是原则性的个别是 111和2049;

 

File System)的简称,是布满式总括系统的贰个组成都部队分,可完毕在异种网络上分享和装配远程文件系统。NFS由Sun集团...

除此以外 rquotad,nlockmgr,mountd 服务端口是随意的。由于端口是轻巧的,那致使防火墙不能设置。

4.         客商端配置

此刻需要配置/etc/sysconfig/nfs使 rquotad,nlockmgr,mountd 的端口固定。

客商端运转以下命令MOUNT NFS文件系统

找到以下几项,将近年来的#号去掉。

#mount -t nfs 10.167.27.91:/opt /mnt/disk1

RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769MOUNTD_PORT=892

5.         命令的选择

service nfs restart

1)        exportfs命令的行使:

再也翻开

假使我们在运营了NFS之后又修改了/etc/exports,是还是不是还要再度起动nfs呢?那一年大家就足以用exportfs命令来使改动立即见效,该命令格式如下:

澳门新萄京官方网站 3

exportfs [-aruv]

安装使 rquotad,nlockmgr,mountd 的端口固定。

参数的意义如下:

vim /etc/services,在文件的末梢一行增添:

-a :全体mount或许unmount /etc/exports中的内容

mountd 892/tcp

 -r :重新mount /etc/exports中享用出去的目录

mountd 892/udp

 -u :umount 目录

rquotad 875/tcp

 -v :在 export 的时候,将详细的音讯输出到显示屏上。

rquotad 875/udp

实际事例:

nlockmgr 32803/tcp

[root @test root]# exportfs –rv   <==全部双重 export 一回!

nlockmgr 32769/udp

2)        Showmount命令的选择:

重启下nfs服务。service nfs restart
在防火墙中开放这5个端口
编纂iptables配置文件
vim /etc/sysconfig/iptables
加多如下行:-A INPUT -p tcp -m tcp –dport 111 -j ACCEPT-A INPUT -p tcp -m tcp –dport 875 -j ACCEPT-A INPUT -p tcp -m tcp –dport 2049 -j ACCEPT-A INPUT -p tcp -m tcp –dport 892 -j ACCEPT-A INPUT -p tcp -m tcp –dport 32803 -j ACCEPT-A INPUT -p udp -m udp –dport 111 -j ACCEPT-A INPUT -p udp -m udp –dport 875 -j ACCEPT-A INPUT -p udp -m udp –dport 2049 -j ACCEPT-A INPUT -p udp -m udp –dport 892 -j ACCEPT-A INPUT -p udp -m udp –dport 32769 -j ACCEPT保存退出并重启iptables
service iptables restart3.配置NFS顾客端首先运营 portmap:# /etc/init.d/portmap start#chkconfig portmap on检查 NFS 服务器端是不是有目录分享:#showmount -e 211.152.40.162Export list for 211.152.40.162:/home/iso 211.152.40.171,203.166.181.64运用 mount 挂载服务器端的目录 /home/iso 到客商端有些目录下:# mount 211.152.39.162:/home/iso /mnt在 /etc/fstab 中挂载 nfs 文件系统:# vi /etc/fstab211.152.39.162:/home/iso /mnt nfs rw,tcp,intr,nosuid# mount -a# chkconfig netfs on注意使用 NFS 的时候,顾客端的客商 UID 和 GID 必得和劳务器端的 UID 和 GID 完全切合,不然会促成权力错误。在小框框客户的情况下,大家得以偷懒通过在客商和服务器两端同一时间建构平等的客商和组来减轻那么些难点,但是在相近客户情况下最棒的办法是应用 NIS 恐怕 OpenLDAP 来归并管理客商,做到叁次登入,到处访谈。

# showmount [-ae] hostname

SUN 公司开荒的,NFSv4 是风靡的修定版本,二零零一年11月透露(PAJEROFC 3530)。由于 NFS 是三个开花的磋商和典型...

参数表达:

-a 在显示器上显得前段时间主机与Client所连上来的行使目录状态 。

-e 展现hostname那部机器的/etc/exports里面包车型的士分享目录。

当要扫瞄某一主机所提供的NFS分享的目录时,就利用showmount -e IP(或主机名hostname)就可以。

6.         查证目录/var/lib/nfs/xtab

核实所共享的目录内容,查看/var/lib/nfs/xtab这么些文件:

# vi /var/lib/nfs/xtab

/home/cao   192.168.0.1(rw,sync,wdelay,hide,secure,root_squash,

no_all_squash,subtree_check,secure_locks, mapping=identity,anonuid=-2, anongid=-2)

这就是/home/cao那几个分享出去的目录预设NFS里面包车型大巴属性。

7.         安全性

portmap: 111

NFS: 2049

谨防利用IP诈骗和RPC重定向才具通过lo回环进行攻击以至限定授权主机:

iptables -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP

iptables -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP

iptables -A INPUT -p udp -s .2 --dport 111 -j ACCEPT

iptables -A INPUT -p udp -s .2 --dport 2049 -j ACCEPT

本文由澳门新萄京官方网站发布于服务器运维,转载请注明出处:澳门新萄京官方网站设置配置nfs,进步NFS服务器

关键词: