亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 網(wǎng)絡(luò)基礎(chǔ)知識(shí) > nfs服務(wù)器安全策略

      nfs服務(wù)器安全策略

      時(shí)間: 權(quán)威724 分享

      nfs服務(wù)器安全策略

        我們都知道,互聯(lián)網(wǎng)最大的優(yōu)勢(shì)就來(lái)源于資源共享,我們有時(shí)則是使用nfs協(xié)議來(lái)完成共享的,服務(wù)器一般都會(huì)采用許多重要的安全保護(hù)技術(shù)來(lái)確保其安全,那么你知道nfs服務(wù)器安全策略嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于nfs服務(wù)器安全策略的相關(guān)資料,供你參考。

        什么是nfs?

        nfs是網(wǎng)絡(luò)文件系統(tǒng)(Network File System)的簡(jiǎn)稱,是分布式計(jì)算系統(tǒng)的一個(gè)組成部分,可實(shí)現(xiàn)在異種網(wǎng)絡(luò)上共享和裝配遠(yuǎn)程文件系統(tǒng)。nfs由Sun公司開(kāi)發(fā),目前已經(jīng)成為文件服務(wù)的一種標(biāo)準(zhǔn)(RFC1904,RFC1813)。其最大的功能就是可讓不同操作系統(tǒng)的計(jì)算機(jī)共享數(shù)據(jù),所以也可以將它看做是一個(gè)文件服務(wù)器。nfs提供了除SAMBA之外,Windows與Linux、Unix與Linux之間通信的方法。

        任何網(wǎng)絡(luò)服務(wù)器都會(huì)有安全問(wèn)題,nfs也不例外。由于設(shè)計(jì)方面的因素,nfs服務(wù)器不可能絕對(duì)安全。一般來(lái)說(shuō),不應(yīng)該將nfs服務(wù)器運(yùn)行在比較敏感的系統(tǒng)或者只有一般防火墻的機(jī)器上,應(yīng)該盡量將其置于防火墻之后。配置安全的nfs服務(wù)器,可以從限制RCP服務(wù)的訪問(wèn)和控制文件系統(tǒng)的導(dǎo)出權(quán)限兩方面著手。

        nfs服務(wù)器安全策略:使用TCP_Wrappers

        portmap和rpc.nfsd結(jié)合起來(lái),使nfs服務(wù)器上的文件即使沒(méi)有任何權(quán)限也能容易得到??梢允褂迷L問(wèn)控制保障網(wǎng)絡(luò)安全,在使用nfs時(shí)最好結(jié)合TCP_Wrappers來(lái)限制使用范圍。

        nfs服務(wù)器安全策略:注意配置文件語(yǔ)法錯(cuò)誤

        nfs服務(wù)器通過(guò)/etc/exports文件來(lái)決定要導(dǎo)出哪些文件系統(tǒng),以及把這些目錄導(dǎo)出到哪些主機(jī)上。編輯這個(gè)文件的時(shí)候要特別小心,不要添加額外的空格。

        例如:/etc/exports文件的以下行會(huì)使主機(jī)bob.example.com 能夠共享/tmp/nfs/目錄。

        /tmp/nfs/ bob.example.com(rw)

        但是 /etc/exports 文件中這一行的情況卻不同。它共享同一目錄,讓主機(jī) bob.example.com 擁有只讀權(quán)限,卻給全局以讀寫權(quán)限。這全是由主機(jī)后面的一個(gè)空格造成的。

        /tmp/nfs/

        bob.example.com (rw)

        使用 showmount 命令來(lái)校驗(yàn)?zāi)男┠夸洷还蚕?,從而檢查nfs共享配置是一個(gè)好習(xí)慣。showmount格式為:

        showmount -e

        nfs服務(wù)器安全策略:使用iptables防火墻

        因?yàn)閚fs在網(wǎng)絡(luò)上明文傳輸所有信息,所以讓nfs服務(wù)器在防火墻后、在一個(gè)分段的安全網(wǎng)絡(luò)上運(yùn)行就很重要。無(wú)論何時(shí)在不安全的網(wǎng)絡(luò)上傳遞nfs信息都有被截取的危險(xiǎn)。從這個(gè)角度講,謹(jǐn)慎制定網(wǎng)絡(luò)計(jì)劃就有助于防御重要的安全破壞。限制RCP服務(wù)訪問(wèn)的辦法一般是使用防火墻,除了TCP-Wrapper還有ipchians和iptalbes的防火墻。在全面使用Linux 2.4或更高版本內(nèi)核的今天,了解iptables這種防火墻方法也就足夠了。 缺省的狀態(tài)下,portmap使用111端口,而nfs使用2049端口,可以通過(guò)iptables來(lái)限制對(duì)該端口的訪問(wèn):

        iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 111 -j DROP iptables -t filter -A INPUT -p udp -d 127.0.0.1 –dport 2049 -j DROP iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip –dport 49 -j ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport 49 -j DROP

        nfs服務(wù)器安全策略:把開(kāi)放目錄限制為只讀權(quán)限

        可以在/etc/exports文件中設(shè)定權(quán)限選項(xiàng)ro,通常需要把nfs服務(wù)器對(duì)客戶開(kāi)放的任何目錄或文件系統(tǒng)設(shè)置為只讀訪問(wèn):

        /app devpc.nitec.com(ro)

        這樣,devpc.nitec.com網(wǎng)絡(luò)中的客戶只能對(duì)/app目錄進(jìn)行只讀訪問(wèn)。

        nfs服務(wù)器安全策略:禁止對(duì)某些目錄的訪問(wèn)

        當(dāng)開(kāi)放一個(gè)完整的文件系統(tǒng)或者一個(gè)目錄時(shí),缺省情況下它的子目錄會(huì)自動(dòng)開(kāi)放訪問(wèn)權(quán)限。如果希望限制對(duì)其子目錄的訪問(wèn)可以使用noaccess訪問(wèn)選項(xiàng),例如希望開(kāi)放/pub目錄權(quán)限但是禁止訪問(wèn)/pub/staff-only子目錄:

        /pub weblab-??.nitec.com (ro)

        /pub/staff-only weblab-??.nitec.com (noaccess)

        注意: “??”代表任意字符。

        nfs服務(wù)器安全策略:root squashing訪問(wèn)問(wèn)題

        按照默認(rèn)設(shè)置,root用戶的用戶ID和組群ID都是0。root權(quán)限壓縮(Root squashing)把用戶ID0和組群ID0映射為匿名的用戶和組群ID,因此客戶上的根用戶就不會(huì)在nfs服務(wù)器上具備根特權(quán)。如果這個(gè)選項(xiàng)被選,root用戶就不會(huì)被映射為匿名用戶,客戶上的root用戶就會(huì)對(duì)導(dǎo)出的目錄擁有根特權(quán)。選擇這個(gè)選項(xiàng)會(huì)大大降低系統(tǒng)的安全性。除非絕對(duì)必要,請(qǐng)不要選擇它。為了明確執(zhí)行該規(guī)則,可以修改文件/etc/exports:

        /www www1.nitec.com(rw, root_squash)

        這樣如果客戶端的UID0(root)用戶想要訪問(wèn)(讀、寫、刪除)一個(gè)nfs文件系統(tǒng),服務(wù)器端會(huì)用UID代替服務(wù)器的nobody賬戶。這樣客戶端的root用戶不能修改和訪問(wèn)服務(wù)器端root用戶才能訪問(wèn)和修改的文件。

        nfs服務(wù)器安全策略:使用nosuid和noexec選項(xiàng)

        SUID(Set User ID)或SGID(Set Group ID)程序可以讓普通用戶以超過(guò)自己權(quán)限的形式執(zhí)行。很多SUID/SGID可執(zhí)行程序是必須的,比如上面提到的passwd。SUID/SGID程序會(huì)被一些惡意的本地用戶利用,獲取本不應(yīng)有的權(quán)限。運(yùn)行以下命令可以找到所有具有這一屬性的程序:

        #find / \( -perm -4000 -o -perm -2000 \)

        使用者必須查看這一列表,盡量減少那些所有者是root或是在root組中卻擁有SUID/SGID屬性的文件,刪除或?qū)ζ鋵傩赃M(jìn)行更改。使用nosuid選項(xiàng)禁止set-UID程序在 nfs服務(wù)器上運(yùn)行,可以修改文件/etc/exports加入一行:

        /www www1.nitec.com(rw, root_squash, nosuid)

        上面的例子說(shuō)明:/www目錄在www1.nitec.com上可以登錄,www1.nitec.com的用戶可以讀取/www中的文件和目錄,但是不能運(yùn)行set- UID程序。

        /www www1.nitec.com(rw, root_squash, noexec)

        上面的例子說(shuō)明/www目錄在www1.nitec.com上可以登錄,www1.nitec.com的用戶可以讀取/www中的文件和目錄,但是禁止所登錄文件系統(tǒng)中文件的執(zhí)行。

        nfs是非常重要的網(wǎng)絡(luò)協(xié)議,許多企業(yè)通過(guò)nfs協(xié)議共享硬盤和其它設(shè)備。把能登錄nfs目錄設(shè)置為只讀訪問(wèn)、提高portmap服務(wù)的安全性、squashing root訪問(wèn)、使用on set-UID 和non executable文件設(shè)置可以提高nfs服務(wù)器的安全。

        看過(guò)文章“nfs服務(wù)器安全策略”的人還看了:

        1.如何提升服務(wù)器安全等級(jí)

        2.如何防護(hù)網(wǎng)絡(luò)服務(wù)器安全

        3.如何維護(hù)網(wǎng)絡(luò)服務(wù)器安全

        4.服務(wù)器如何防攻擊

        5.Windows服務(wù)器的基礎(chǔ)安全加固方法

        6.入侵服務(wù)器的基礎(chǔ)知識(shí)

        7.服務(wù)器怎么防攻擊

        8.怎么利用服務(wù)器的DHCP維護(hù)局域網(wǎng)安全

        9.怎么設(shè)置網(wǎng)件PR2000為公共熱點(diǎn)安全模式

        10.服務(wù)器物理安全

      603817