齊士忠
2
安全集成(專業級)SI/PL
CISAW安全運維(專業級)
齊士忠2
安全集成(專業級)SI/PL
CISAW安全運維(專業級)
保證NFS安全的使用原則有以下這些:
要考慮好總體的安全,拒絕所有的訪問,只有在需要的時候才提供訪問。也就是說,不要把NFS導出到任何主機,而只應該將它導出到所需要的主機,尤其是不要將文件系統導出到不信任的主機。用戶要盡量使用只讀(ro)權限導出文件系統,不要使用(rw)或者(no_root_squash)權限。
不要提供太多的根用戶賬號。特別要注意保證任何用戶都沒有NFS客戶機的根用戶賬號,如果具有的話,那么該客戶機將會具有最高的權限,會引起很大的安全問題,它可以修改任何它想修改的內容,這顯然是不安全的。而且用戶應該在NFS服務器上使用(root_squash)和(ro)選項。
盡量使用限制性的NFS客戶機方掛接選項,用只讀(ro)選項掛接文件系統,除非確實有必要,不然不要允許設置UID二進制文件(nosuid)、設備(nodev)和執行文件(noexec)。
要嚴格地控制好導出的目錄文件。這主要包括導出的數量以及導出的安全選項。導出的數量依據實際情況而定,避免導出過多的和不必要的選項。另外,要嚴格地控制好導出的安全選項,安全選項就是上面所描述的只讀(ro)、可寫(rw)和根用戶擠壓(root_ squash)等選項。
在導出的文件系統下的目錄的設置過程中,應當要注意一些控制的問題。在通常情況下,應該要將訪問權限一致的目錄和文件作為父目錄、子目錄,而訪問權限不一致的就另開一個目錄進行導出,這實際上就是一個管理的粒度問題。例如,現有4個目錄要進行導出,它們依次是 /direct1、/direct2、/direct3和/direct4。其中,前兩個目錄的訪問權限是只讀,而后面兩個目錄的訪問權限是可讀/寫的,那么,我們在導出的時候可以將/direct2作為/direct1的子目錄,放入/direct1中進行導出,然后設置共享權限為只讀。
推薦文章
