NFS Network File System

Het Network File System (NFS) protocol definieert een manier voor co-besturingssystemen te delen bestandssystemen. Vandaag, iedereen lijkt te verwijzen naar NFS mounts als aandelen.

NFS is gebaseerd op de RPC (Remote Procedure Call), een protocol dat bepaalt hoe de machines kunt bellen om de procedures op externe machines alsof ze lokaal zijn.

NFS implementaties bestaan uit meer dan alleen een enkele NFS server proces. In feite moeten ze mountd, statd en lockd. Deze daemons hebben een overvloed aan problemen, vooral statd.

NFS is een onveilig protocol dat u niet wilt uitvoeren. Geloof me.

Volledige details van NFS v2 is te vinden in RFC 1094. NFS v3 is gedefinieerd in RFC 1813.

NFS Risico

· Als u een niet-ondersteunde of ongepatchte versie van NFS draaien bent, ben je dood in het water als iemand een schot neemt.

· Onjuiste zijn gemeenschappelijk met NFS. Delen systeem-gerelateerde bestandssystemen is vragen om moeilijkheden.

· Zwakke authenticatie wordt gebruikt. De verzoeken kunnen worden vervalst of soms proxy via de lokale portmapper.

· Geen encryptie wordt gebruikt, zodat uw donkerste geheimen gaan over het netwerk in platte tekst.

· NFS gerelateerde daemons meestal draaien als root. Een exploiteerbare beveiligingsgat kunnen achterlaten als u met een root compromis op uw handen.

· Watch your standaardwaarden! Het bestand / etc / exports (of / etc / dfs / dfstab) controles bestandssystemen die je deelt en met wie. Tenzij u anders aangeeft, kan uw standaard uitvoering voor het gebruik van onveilige opties of het geven schrijf toegang standaard.

Beveiliging NFS

Loop niet! Solve veiligheid hoofdpijn in een duikvlucht niet-bocht als off! OK, dus je wilt deze functionaliteit? Lees verder ...

· Is NFS zich het recht voor file-sharing mechanisme voor wat je wilt? Gezien de veiligheidsproblemen, onderzoekt uw file-sharing eisen. Bijvoorbeeld, als je een spiegel van een aantal bestanden, kan je gewoon een andere schijf kopen (ze zijn goedkoop deze dagen) en het gebruik rdist over SSH om replica's te maken naar andere systemen. Als u een manier kunnen vinden om het gebruik van NFS, dan doen.

Vermijd het gebruik van NFS voor gevoelige informatie en nooit lopen Internet-facing NFS-servers.

· Firewall NFS te beperken uw blootstelling op het bredere netwerk.

· Blijf up to date met patches verkoper veiligheid! NFS-gerelateerde patches lijken te komen dik en snel. Als uw leverancier niet leveren van patches, zou dit "een slechte zaak." Zij kunnen eenvoudigweg niet worden patchen bekend gaten.

Share · bestandssystemen op een "need-to-have basis. Beperken dit alleen-lezen delen waar mogelijk. Altijd specificeren nosuid als een optie, om ervoor te zorgen dat de set-id bit niet wordt geëerd op de bestanden die zijn gemaakt op geëxporteerde bestandssystemen.

· Verwijder alle verwijzingen naar localhost in uw export bestand.

· Niet zelf-verwijzing een NFS-server in zijn eigen export bestand.

· Beperk uitvoer lijsten tot 256 karakters (inclusief uitgebreid aliassen als aliassen in gebruik).

· Overweeg het gebruik van een vervangende portmapper dat zal niet naar voren, of proxy, verzoeken monteren. .

• Waar read-only delen mogelijk is, overweeg dan het monteren van een lokaal geëxporteerd bestandssysteem als alleen-lezen (dat is in / etc / vfstab of vergelijkbaar).

NFS versie 4 is de volgende generatie van NFS. Productie klaar implementaties zijn niet direct beschikbaar als nog. Zien http:/ / www.nfsv4.org voor meer informatie.

Alternatieven voor NFS met AFS (http:/ / www.contrib.andrew.cmu.edu / ~ schaduw / afs.html) En CODA (http:/ / www.coda.cs.cmu.edu / ).

een artikel afkomstig van Andreas Schmidt