Le protocole du Network File System (NFS) définit une manière pour que les systèmes de coopération partagent des filesystems. Aujourd'hui, chacun semble se rapporter à des bâtis de NFS comme parts.
|
|
Le NFS est basé sur le RPC (Remote Procedure Call), un protocole qui définit comment les machines peuvent faire des appels aux procédures sur les machines à distance comme si elles étaient locales.
Les réalisations de NFS se composent plus que juste d'un processus simple de serveur de NFS. En fait, elles exigent le mountd, le statd, et le lockd. Ces démons ont eu une pléthore de statd— de problèmes particulièrement.
Le NFS est un protocole peu sûr que vous ne voulez pas courir. Faites- confiancemoi.
Des détails complets de NFS v2 peuvent être trouvés dans RFC 1094. NFS v3 est défini dans RFC 1813.
· Si vous courez un sans support ou unpatched la version du NFS, vous êtes mort dans l'eau si quelqu'un prend un projectile.
· Misconfigurations sont commun avec le NFS. Le partage des filesystems reliés au système est demander l'ennui.
· L'authentification faible est employée. Les demandes peuvent être charriées ou proxied parfois par le portmapper local.
· Aucun chiffrage n'est employé, ainsi vos secrets plus foncés vont à travers le réseau dans le plaintext.
· les démons NFS-CONNEXES courent généralement comme racine. Un trou exploitable de sécurité peut vous laisser avec un compromis de racine sur vos mains.
· Observez vos défauts ! Le dossier/commandes etc../exportations (ou/etc../dfs/dfstab) qui filesystems que vous partagez et avec qui. À moins que vous indiquiez autrement, votre exécution pourrait se transférer sur employer des options peu sûres ou en donnant écrivez l'accès par défaut.
Ne le courez pas ! Résolvez les maux de tête de sécurité à un tour d'attaque surprise—d'échouer si au loin ! L'OK, ainsi vous veulent cette fonctionnalité ? Lu dessus…
· Le NFS est-il le bon mécanisme departage pour ce que vous voulez ? Donné ses problèmes de sécurité, examinez vos conditions departage. Par exemple, si vous voulez un miroir de quelques dossiers, vous pourriez juste acheter un autre disque (elles sont bon marché de nos jours) et employer le rdist au-dessus de SSH pour faire des reproductions à d'autres systèmes. Si vous pouvez trouver une manière autour d'employer le NFS, alors ainsi.
· Évitez d'employer le NFS pour l'information sensible et ne courez jamais les serveurs de NFS d'Internet-revêtements.
· NFS de mur à l'épreuve du feu pour limiter votre exposition sur le réseau plus large.
· Séjour à jour avec des pièces rapportées de sécurité de fournisseur ! les pièces rapportées NFS-CONNEXES semblent sortir épais et rapide. Si votre fournisseur ne fournit pas des pièces rapportées, ceci pourrait être "une mauvaise chose." Elles ne pourraient pas simplement raccorder les trous connus.
· Filesystems de part sur une base d'avoir besoin-à-avoir. Limitez ceci au partage inaltérable dans la mesure du possible. Indiquez toujours le nosuid comme option, pour s'assurer que le peu placer-identification n'est pas honoré sur des dossiers créés sur les filesystems exportés.
· Enlevez toutes les références au localhost dans votre dossier d'exportations.
· Pas art de l'auto-portrait-reference un serveur de NFS dans son propre dossier d'exportation.
· Listes d'exportation de limite à 256 caractères (noms d'emprunt augmentés y compris si les noms d'emprunt sont en service).
· Considérez employer un portmapper de rechange qui n'expédiera pas, ou la procuration, les demandes de montage.
· Là où le partage inaltérable est possible, considérez monter un filesystem localement exporté comme inaltérable (c'est-à-dire, dans/etc../vfstab ou semblable).
La version 4 de NFS est la prochaine génération du NFS. Les réalisations prêtes de production ne sont pas aisément disponibles jusqu'ici. Voir le HTTP : //www.nfsv4.org pour plus d'information.
Les solutions de rechange au NFS incluent AFS (HTTP : //www.contrib.andrew.cmu.edu/~shadow/afs.html) et CODA (HTTP : //www.coda.cs.cmu.edu/ ).
Online: 422 users browsing the articles directory
|
|