Il protocollo di Network File System (NFS) definisce un senso affinchè i sistemi cooperanti ripartisca i filesystems. Oggi, tutto sembra riferirsi ai supporti del NFS come parti.
|
|
Il NFS è basato sul RPC (Remote Procedure Call), un protocollo che definisce come le macchine possono fare le chiamate alle procedure sulle macchine a distanza come se siano state locali.
Le esecuzioni del NFS consistono più appena di singolo processo dell'assistente del NFS. Infatti, richiedono il mountd, lo statd ed il lockd. Questi daemons hanno avuti una pletora di statd— di problemi particolarmente.
Il NFS è un protocollo insicuro che non desiderate fare funzionare. Selo fidi di.
I dettagli completi del NFS v2 possono essere trovati in RFC 1094. Il NFS v3 è definito in RFC 1813.
· Se state facendo funzionare un non confirmato o unpatched la versione del NFS, siete guasti nell'acqua se qualcuno prende un colpo.
· Misconfigurations è comune con il NFS. La compartecipazione dei filesystems relativi al sistema è chiedere la difficoltà.
· L'autenticazione debole è usata. Le richieste possono essere spoofed o a volte proxied attraverso il portmapper locale.
· Nessuna crittografia è usata, in modo da i vostri segreti più scuri vanno attraverso la rete nel plaintext.
· i daemons NFS-RELATIVI funzionano comunemente come radice. Un foro utilizzabile di sicurezza può lasciarlo con un compromesso della radice sulle vostre mani.
· Guardi i vostri difetti! La lima/comandi esportazioni/ecc (o/ecc/dfs/dfstab) che filesystems che vi ripartite e con quale. A meno che specifichiate al contrario, la vostra esecuzione potrebbe stabilizzare a usando le opzioni insicure o dando scriva l'accesso per difetto.
Nonlo faccia funzionare! Risolva le emicranie di sicurezza ad una girata dello swoop—di venire a mancare se fuori! L'APPROVAZIONE, in modo da voi desidera questa funzionalità? Colto sopra…
· È il NFS il giusto meccanismo lima-ripartentesi per che cosa desiderate? Dato i relativi problemi di sicurezza, esamini i vostri requisiti lima-ripartentesi. Per esempio, se desiderate uno specchio di alcune lime, potreste comprare un altro disc (sono poco costosi attualmente) ed usare appena il rdist sopra SSH per fare le repliche ad altri sistemi. Se potete trovare un senso intorno a usando il NFS, allora così.
· Eviti di usando il NFS per le informazioni sensibili e mai non faccia funzionare gli assistenti del NFS dei Internet-rivestimenti.
· NFS della parete refrattaria per limitare la vostra esposizione sulla rete più larga.
· Soggiorno aggiornato con le zone di sicurezza del fornitore! le zone NFS-RELATIVE sembrano uscire spesso e veloce. Se il vostro fornitore non sta fornendo le zone, questa potrebbe essere "una cosa difettosa." Non hanno potuto rattoppare semplicemente i fori conosciuti.
· Filesystems della parte su una base di bisogno-$$$-. Limiti questo alla compartecipazione passiva ove possibile. Specifichi sempre il nosuid come opzione, per accertarsi che la punta regol-identificazione non honored sulle lime generate sui filesystems esportati.
· Rimuova tutti i riferimenti a localhost nella vostra lima delle esportazioni.
· Non il self-reference un assistente del NFS nella relativa propria lima dell'esportazione.
· Liste di esportazione di limite a 256 caratteri (pseudonimi espansi compresi se gli pseudonimi sono in uso).
· Studii la possibilità di usando un portmapper del rimontaggio che non spedirà, o la procura, richieste di supporto.
· Dove la compartecipazione passiva è possibile, studii la possibilità di montare un filesystem localmente esportato come passivo (cioè in/ecc/vfstab o simile).
La versione 4 del NFS è la generazione seguente del NFS. La produzione aspetta le esecuzioni non è prontamente disponibile finora. Veda il HTTP: //www.nfsv4.org per le più informazioni.
Le alternative al NFS includono AFS (HTTP: //www.contrib.andrew.cmu.edu/~shadow/afs.html) e CODA (HTTP: //www.coda.cs.cmu.edu/ ).
Online: 378 users browsing the articles directory
|
|