Das Protokoll des Network File System (NFS) definiert eine Weise, damit kooperierende Systeme filesystems teilen. Heute scheint jeder, sich auf NFS Einfassungen als Anteile zu beziehen.
|
|
NFS basiert auf dem RPC (Remote Procedure Call), ein Protokoll, das definiert, wie Maschinen Anrufe zu den Verfahren auf Remotemaschinen bilden können, als ob sie lokal waren.
NFS Implementierungen bestehen aus mehr als gerade einem einzelnen NFS Bedienerprozeß. Tatsächlich erfordern sie mountd, statd und lockd. Diese Dämonen haben eine Fülle Probleme besonders— statd gehabt.
NFS ist ein unsicheres Protokoll, das Sie nicht laufen lassen möchten. Vertrauen Sie mir.
Gesamte Details von NFS v2 können in RFC 1094 gefunden werden. NFS v3 wird in RFC 1813 definiert.
· Wenn Sie ein ungestütztes laufen lassen oder Version von NFS unpatched, sind Sie im Wasser tot, wenn jemand einen Schuß nimmt.
· Misconfigurations sind mit NFS allgemein. Systemverwandte filesystems zu teilen ist Bitten um Mühe.
· Schwache Authentisierung wird verwendet. Die Anträge können sein spoofed oder proxied manchmal durch das lokale portmapper.
· Keine Verschlüsselung wird verwendet, also gehen Ihre dunkelsten Geheimnisse über das Netz im Klartext.
· NFS-IN Verbindung stehende Dämonen laufen allgemein als Wurzel. Eine verwertbare Sicherheit Bohrung kann Sie mit einem Wurzelkompromiß auf Ihren Händen lassen.
· Passen Sie Ihre Rückstellungen auf! Die Akte/usw./der Exporte (oder/usw./dfs/dfstab) Kontrollen denen filesystems, die Sie teilen und mit denen. Es sei denn Sie anders spezifizieren, konnte Ihre Implementierung auf dem Verwenden der unsicheren Wahlen zurückfallen, oder gebend schreiben Sie Zugang durch Rückstellung.
Lassen Sie es nicht laufen! Lösen Sie Sicherheit Kopfschmerzen in einer Ausfallen swoop—Umdrehung wenn weg! O.K., also Sie wünschen diese Funktionalität? An gelesen…
· Ist NFS die rechte Akte-teilende Einheit für, was Sie wünschen? Seine Sicherheit Probleme gegeben, überprüfen Sie Ihre Akte-teilenden Anforderungen. Z.B. wenn Sie einen Spiegel einiger Akten wünschen, konnten Sie eine andere Scheibe (sie sind diese Tage preiswert), gerade kaufen und rdist über SSH verwenden, um Repliken zu anderen Systemen zu bilden. Wenn Sie eine Weise um das Verwenden von von NFS finden können, dann so.
· Vermeiden Sie, NFS zu empfindlicher Information zu verwenden und lassen Sie nie Internet-Einfassungen NFS Bediener laufen.
· Brandmauer NFS zum Begrenzen Ihre Belichtung im breiteren Netz.
· Aufenthalt aktuell mit Verkäufersicherheit Flecken! NFS-IN Verbindung stehende Flecken scheinen, herauszukommen stark und schnell. Wenn Ihr Verkäufer nicht Flecken liefert, könnte diese "eine schlechte Sache sein." Sie konnten nicht bekannte Bohrungen einfach ausbessern.
· Anteil filesystems auf einer Benötigen-zuhaben Grundlage. Schränken Sie dieses auf wo möglich Read-only-teilen ein. Spezifizieren Sie immer nosuid als Wahl, um sicherzugehen daß die Spitze Einstellenkennzeichnung nicht auf den Akten geehrt wird, die auf exportierten filesystems hergestellt werden.
· Entfernen Sie alle mögliche Hinweise auf localhost in Ihrer Exportakte.
· Nicht Self-reference ein NFS Bediener in seiner eigenen Exportakte.
· Begrenzung Exporttarife zu 256 Buchstaben (einschließlich erweiterte Namensabkürzungen, wenn Namensabkürzungen im Gebrauch sind).
· Erwägen Sie, ein Wiedereinbau portmapper, das nachschickt, nicht oder Vollmacht, MOUNT-Anforderungen zu verwenden.
· Wo das Read-only-Teilen möglich ist, erwägen Sie, ein am Ort exportiertes filesystem anzubringen, wie Read-only (das heißt, in/usw./vfstab oder ähnliches).
NFS Version 4 ist das folgende Erzeugung von NFS. Produktion bereite Implementierungen sind nicht bis jetzt bereitwillig vorhanden. Sehen Sie HTTP: //www.nfsv4.org zu mehr Information.
Alternativen zu NFS schließen AFS mit ein (HTTP: //www.contrib.andrew.cmu.edu/~shadow/afs.html) und CODA (HTTP: //www.coda.cs.cmu.edu/ ).
Online: 415 users browsing the articles directory
|
|