네트워크 파일 시스템 아키텍처

가 네트워크 파일 시스템 (아키텍처) 프로토콜을 정의하는 방법에 대한 공동 - 운영 체제가 공유 파일입니다. 오늘, 모든 사람을 참조 아키텍처 탑재로 주식을 보인다.

아키텍처 기반으로 rpc (원격 프로 시저 호출), 프로토콜을 정의하는 방법 기계 수 있는지 전화를 절차에 대한 원격 기계로 간주하여 지역입니다.

아키텍처 구현 구성된뿐 아니라 단일 아키텍처 서버 프로세스입니다. 실제로, 그들을 필요로 mountd, statd, lockd. 이러한 데몬이 있었다 초지의 문제 - 특히 statd.

아키텍처는 불안 프로토콜을 실행하지 않으려는합니다. 신뢰를 내게됩니다.

전체 세부 사항은 아키텍처 18816830에서 찾을 수있습니다 rfc 1094. 에 정의된 아키텍처 v3는 rfc 1813.

아키텍처 위험 요소

· 운영중인 경우 지원되지 않는 또는 unpatched 버전의 아키텍처, 물속에서 죽은 경우 소요되는 경우 촬영합니다.

· 잘못된 구성이 일반적으로 아키텍처입니다. 공유 시스템 - 관련 파일이 요청하는 데 문제가있습니다.

· 약한 인증하는 데 사용됩니다. 에 요청하실 수있습니다 스푸핑이나 때로는 프록를 통해 현지 portmapper.

· 아니오 암호화가 사용하므로 귀하의 어두운 비밀을 서가 네트워크를 통해 일반 텍스트입니다.

· 아키텍처 - 관련 데몬 흔히 루트로 실행됩니다. an 익스플로잇 보안 구멍을 남길 수있는 루트 타협에 손.

· 시청의 기본! 이 파일 / 기타 / 수출 (또는 / 기타 / dfs / dfstab)을 제어합니다 누구와 어떤 파일을 공유하고있습니다. 특별히 지정하지 않는 경우, 귀하의 구현을 할 수도있습니다 불안 옵션을 기본값으로 사용하거나 쓰기 권한이 기본적으로 제공됩니다.

확보 아키텍처

를 실행하지 마십시오! 해결 보안 두통을 한 실패할 알린다 - 전원이 오프! 확인, 그래서이 기능을 원하는가? 읽기에…

·이 아키텍처의 오른쪽 파일 - 공유 메커니즘을 원하는가? 주어진의 보안 문제를 검사하여 파일 - 공유 요구 사항이있습니다. 예를 들면, 거울을 원할 경우 일부 파일을 쓸 수 방금 구매 또 다른 디스크 (그들은 값싼 이러한 일) 및 사용 rdist를 통해상의를 복제하여 다른 시스템을합니다. 아키텍처를 사용하여 해결하는 방법을 찾을 수있다면, 그 다음 작업을 수행합니다.

· 아키텍처에 대한 민감한 정보를 절대 사용하지 마십시오 인터넷 - 맞고 아키텍처 서버를 실행합니다.

· 방화벽 아키텍처를 제한 광고 노출에 넓은 네트워크입니다.

· 체류를 최신으로 공급 업체 보안 패치! 아키텍처 - 관련 패치가 나올 것으로 보인다 두꺼운하고 신속합니다. 귀하의 공급 업체가 제공되지 않습니다 패치,이있을 수도 "은 잘못된 생각입니다." 그들 단순히되지 않을 수도있습니다 패치 알려진 구멍이있습니다.

· 공유 파일에있는가 필요 -에 -이 기준입니다. 이것을 읽기 - 전용 공유를 어디서라도 제한합니다. 항상 nosuid로 지정하는 옵션을 제공되도록는 세트 - id 비트가없는 영광에 내보낸 파일에 대한 파일이 만들어집니다.

· 로컬의 수출이 파일에 대한 참조를 제거합니다.

· 마십시오 - 레퍼런스 an 아키텍처 서버에서 자기 자신의 내보내기 파일입니다.

· 한도를 내보낼 목록을 256 자 (비롯한 확장된 별칭이 별칭이 사용).

· 사용을 고려 대체 portmapper가이 전달되지 않습니다, 또는 프록시, 마운트를 요청합니다. .

· 여기서 읽기 - 전용 공유가가능한, 고려 장착 로컬로 내보낸 파일을 읽기 - 전용 (즉,이 / 기타 / vfstab 또는 유사한)입니다.

아키텍처 버전 4는 다음 세대의 아키텍처입니다. 생산 준비가 구현되지 않은 쉽게 사용할 수 있기를 아직입니다. 참조 http:/ / www.nfsv4.org에 대한 더 많은 정보가있습니다.

대안을 아키텍처를 포함 말하며 (http:/ / www.contrib.andrew.cmu.edu / ~ 그림자 / afs.html)과 성취 (http:/ / www.coda.cs.cmu.edu /).