Linux下的文件共享全攻略系列之二：NFS快速配置教程与安全策略

anonuid：将登入NFS主机的用户都设定成指定的userid,此ID存在于/etc/passwd中

客户机配置

客户机配置相对简单,只需要使用下述命令mount NFS文件系统即可：

#mount -t nfs 192.168.10.168:/home /mnt/mp3

上述命令将远程的共享目录挂接到本地的/home目录下,用户可以直接对该目录进行操作,从而获取远程的共享资源.

启动NFS服务

#service portmap start

# service nfs start

下面通过一个具体的例子来介绍NFS的安全性配置.假设在某个网站上有某个目录名为/popgame目录可以开放给NFS客户机来进行下载共享等工作,而这台服务器的IP地址为：202.168.10.8,它可以开放目录给的主机的IP地址为202.168.10.10、202.168.10.13（当然可以提供给更多的服务器,他们的IP地址也可以各式各样,现在举的例子有点像局域网中的情况,不过原理相同）.那么我们就需要对服务器端的/etc/exports文件进行编写：

我们先进入目录/etc,然后vi exports,那么就会进入到该文件的编辑界面,我们输入如下的内容：

/popgame 202.168.10.10(ro) 202.168.10.13(ro)

我们可以清楚的看到,目录/popgame只能导出到IP地址为上述的客户机上,他们的权限也只能是只读,他们只是需要简单的共享下载游戏的功能,并不需要具备创建目录、修改文件的功能,如果提供了的话,那将会出现安全隐患.下面接着配置客户机的/etc/fstab文件,进入该文件你将需要加入如下的内容,原文件上已经有的内容不要随意更改,否则会影响系统配置,影响文件系统：

202.168.10.8: /popgame /mnt/game nfs ro 0 0

其中的/mnt/game目录是你要将服务器上的/popgame目录挂接到你的客户机上的本地目录,也就是说,当共享了NFS文件系统以后,你可以通过访问本地目录/mnt/game来访问共享的文件.现在有两台客户机,每一台上都要如上配置.

配置完成以后,就需要在客户机上将服务器的NFS挂接到本地客户机上了,命令如下所示：

mount –t nfs 202.168.10.8: /popgame /mnt/game

特别需要注意的是：在执行命令之前,你先要关掉本地客户机上的防火墙,否则也不会挂接成功.原因是防火墙将会阻碍远程过程调用.现在你就可以放心的使用远程的网络资源了.

,我们介绍一下使用中需要注意的安全问题.

通常来说,我们要保护好NFS,就要关闭最大的漏洞.在操作系统当中,当系统启动的时候,将会有很多的后台系统服务程序在运行,有些端口是缺省打开的.如果不对这种情况进行处理的话,一方面会不必要的消耗大量系统资源,另一方面则会给我们的系统带来安全隐患.因此,我们要保护NFS,解决好如下问题：

◆要考虑好总体的安全,拒绝所有的访问,只有在需要的时候才提供访问.也就是说,不要把NFS导出到任何主机,而只应该将它导出到所需要的主机,尤其是避免将文件系统导出到不信任的主机.并且要尽量使用只读(ro)权限导出文件系统,尽量不要使用(rw)或者是(no_root_squash)权限；

◆不要提供太多的根用户账号.特别要注意保证任何用户都没有NFS客户机的根用户账号,如果具有的话,那么该客户机将会具有最高的权限,将会引起很大的安全问题,它可以修改任何它想修改的东西,这显然是不安全的.应该在NFS服务器上使用(root_squash)和(ro)选项；

◆尽量使用限制性的NFS客户机方挂接选项,用只读(ro)选项挂接文件系统,除非确实有必要,要不然不要允许设置UID二进制

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!