网络文件系统nfs的

网络文件系统（ nfs的）协议定义了一种方法，为协调作业系统，以分享文件。 今天，每个人似乎都指nfs的总攻，作为股份。

nfs的基础上， rpc （远程过程调用） ，一项议定书，确定了如何取款机都可以打电话到程序，对远程计算机上，如果他们被当地。

nfs的实现构成不仅仅是一个单一的nfs服务器进程。 事实上，他们需要mountd ， statd ， lockd 。 这些守护进程产生了过多的问题-尤其是statd 。

nfs的，是一种不安全的协议，你不想办。 相信我。

全部细节后nfs 2版，可以发现在rfc 1094名。 nfs的v3的定义是在rfc 1813 。

nfs的风险

如果您正在运行一个无依无靠或安装补丁版本的nfs的，你就死在水，如果有人打了。

•错误是常见的与nfs的。 共享系统的相关文件，是自寻烦恼。

•弱认证，是利用。 要求可以欺骗性或有时为代表通过当地portmapper 。

•没有加密，是用，因此，你最黑暗的秘密到整个网络中明文。

• nfs的相关常见守护进程运行的根源。 一个被利用的安全漏洞就可以离开你同根妥协你们手中。

-看你的默认！ 档案/等/出口（或/ etc /无病存活率/选项）控制文件，其中你分享以及与谁。 除非你指定，否则，你的执行可能会默认使用不安全的期权或给予写权限默认。

争取后nfs

请不要运行它！ 解决保安头疼一次失败一下子转，如果起飞！ 好吧，我们就这样你希望有这种功能吗？ 阅读关于…

• nfs的，是正确的文件共享机制是什么，你要什么呢？ 由于其安全问题，检查你的文件共享需求。 举例来说，如果你想要一个镜子的部分档案，你可以只购买另一磁盘（很便宜，这些天） ，并使用rdist超过ssh来，使复制品到其他系统。 如果你能找到一个方法周围用nfs的，然后这样做。

•避免使用nfs的敏感信息和永不衰竭的面向互联网的nfs的服务器。

• nfs的防火墙，以限制你的暴露于更广泛的网络。

1 ，每次逗留不超过日期与卖主的安全补丁！ nfs的相关补丁，似乎走出来厚，并很快。 如果你的供应商是不提供补丁，这可以是"坏事" 他们可能根本无法修补已知的漏洞。

•共享文件系统就需要到有基础。 限制这种唯读分享只要有可能。 总是指定nosuid作为一种选择，以确保这套识别码位是不兑现对档案形成于出口文件。

-消除任何参照l ocalhost在你的出口文件。

-不要自我参照的一个n fs服务器在自己的出口文件。

•限制出口的名单，以256个字符（包括扩展别名，如果别名都在使用） 。

•考虑使用替代portmapper将不会前进，或委托书，摩要求。 。

•如唯读共享是可能的，考虑开办一个本地的输出文件作为唯读（也就是在/ etc / vfstab或相似） 。

nfs的第4版是新一代的nfs的。 生产准备实施不容易获得确定。 见http:/ / www.nfsv4.org以获取更多信息。

替代nfs的包括战地服务团（ http:/ / www.contrib.andrew.cmu.edu / 〜阴影/ afs.html ）和尾波（ http:/ / www.coda.cs.cmu.edu / ） 。