El protocolo del Network File System (NFS) define una manera para que los sistemas que cooperan compartan filesystems. Hoy, cada uno se parece referir a los montajes del NFS como partes.
|
|
El NFS se basa en el RPC (Remote Procedure Call), un protocolo que defina cómo las máquinas pueden hacer llamadas a los procedimientos en las máquinas remotas como si fueran locales.
Las puestas en práctica del NFS consisten en más que apenas un solo proceso del servidor del NFS. En hecho, requieren el mountd, el statd, y el lockd. Estos demonios han tenido una plétora de statd— de los problemas especialmente.
El NFS es un protocolo inseguro que usted no desea funcionar. Confíeme en.
Los detalles completos de NFS v2 se pueden encontrar en RFC 1094. El NFS v3 se define en RFC 1813.
· Si usted está funcionando un sin apoyo o unpatched la versión del NFS, usted es muerto en el agua si alguien toma un tiro.
· Misconfigurations es común con el NFS. Compartir filesystems relacionados al sistema es el pedir apuro.
· Se utiliza la autentificación débil. Las peticiones pueden ser spoofed o proxied a veces a través del portmapper local.
· No se utiliza ningún cifrado, así que sus secretos más oscuros van a través de la red en plaintext.
· los demonios NFS-RELACIONADOS funcionan comúnmente como raíz. Un agujero explotable de la seguridad puede dejarle con un compromiso de la raíz en sus manos.
· ¡Mire sus defectos! El archivo/controles del etc/de las exportaciones (o/etc/dfs/dfstab) que filesystems que usted comparte y con los cuales. A menos que usted especifique de otra manera, su puesta en práctica pudo omitir usar opciones inseguras o dando escriba el acceso por defecto.
¡No lo funcione! ¡Solucione los dolores de cabeza de la seguridad en una vuelta del swoop—del fall si apagado! ¿La AUTORIZACIÓN, así que usted desean esta funcionalidad? Leído encendido…
· ¿Es el NFS el mecanismo archivo-que comparte derecho para lo que usted desea? Dado sus problemas de la seguridad, examine sus requisitos archivo-que comparten. Por ejemplo, si usted desea un espejo de algunos archivos, usted podría apenas comprar otro disco (son baratos actualmente) y utilizar rdist sobre SSH para hacer las reproducciones a otros sistemas. Si usted puede encontrar una manera alrededor de usar el NFS, entonces tan.
· Evite de usar el NFS para la información sensible y nunca funcione los servidores del NFS de los Internet-revestimientos.
· NFS del cortafuego para limitar su exposición en la red más ancha.
· ¡Estancia actualizada con los remiendos de la seguridad del vendedor! los remiendos NFS-RELACIONADOS se parecen salir grueso y rápido. Si su vendedor no está proveiendo remiendos, esto podría ser "una mala cosa." Puede ser que no remienden simplemente los agujeros sabidos.
· Filesystems de la parte sobre una base del necesitar-a-tener. Restrinja esto a compartir inalterable donde sea posible. Especifique siempre el nosuid como opción, para asegurarse de que el pedacito fijar-identificacio'n no está honrado en los archivos creados en filesystems exportados.
· Quite cualquier referencia al localhost en su archivo de las exportaciones.
· No el self-reference un servidor del NFS en su propio archivo de la exportación.
· Listas de exportación del límite a 256 caracteres (alias ampliados incluyendo si los alias están en uso).
· Considere el usar de un portmapper del reemplazo que no remita, o del poder, peticiones de montaje.
· Donde está posible el compartir inalterable, considere el montar de un filesystem localmente exportado como inalterable (es decir, en/etc/vfstab o similar).
La versión 4 del NFS es la generación siguiente del NFS. Las puestas en práctica listas de la producción no están fácilmente disponibles hasta ahora. Vea el HTTP: //www.nfsv4.org para más información.
Los alternativas al NFS incluyen AFS (HTTP: //www.contrib.andrew.cmu.edu/~shadow/afs.html) y CODA (HTTP: //www.coda.cs.cmu.edu/ ).
Online: 404 users browsing the articles directory
|
|