O protocolo do Network File System (NFS) define uma maneira para que os sistemas cooperando compartilhem de filesystems. Hoje, todos parece consultar às montagens do NFS como partes.
|
|
O NFS é baseado no RPC (Remote Procedure Call), um protocolo que defina como as máquinas podem fazer chamadas aos procedimentos em máquinas remotas como se eram locais.
As execuções do NFS consistem mais do que apenas em um único processo do usuário do NFS. No fato, requerem o mountd, o statd, e o lockd. Estes daemons tiveram um plethora do statd— dos problemas especial.
O NFS é um protocolo insecure que você não queira funcionar. Confíe em me.
Os detalhes cheios de NFS v2 podem ser encontrados em RFC 1094. O NFS v3 é definido em RFC 1813.
· Se você estiver funcionando um unsupported ou unpatched a versão do NFS, você está inoperante na água se alguém fizer exame de um tiro.
· Misconfigurations é comum com NFS. Compartilhar de filesystems system-related é pedir problema.
· O authentication fraco é usado. Os pedidos podem ser spoofed ou proxied às vezes através do portmapper local.
· Nenhum encryption é usado, assim que seus segredos mais escuros vão através da rede no plaintext.
· os daemons NFS-RELACIONADOS funcionam geralmente como a raiz. Um furo exploitable da segurança pode deixá-lo com um acordo da raiz em suas mãos.
· Preste atenção a seus defeitos! A lima/controles etc./exportações (ou/etc./dfs/dfstab) que filesystems que você compartilha e com quem. A menos que você especificasse de outra maneira, sua execução pôde optar usar opções insecure ou dando escreva o acesso pelo defeito.
Não o funcione! Resolva headaches da segurança em uma volta do swoop—da falha se fora! A APROVAÇÃO, assim que você querem esta funcionalidade? Lido sobre…
· É o NFS o mecanismo lima-compartilhando direito para o que você quer? Dado seus problemas da segurança, examine suas exigências lima-compartilhando. Para o exemplo, se você quisesse um espelho de algumas limas, você poderia apenas comprar um outro disco (são barata estes dias) e usar o rdist sobre SSH fazer replicas a outros sistemas. Se você puder encontrar uma maneira em torno de usar o NFS, então assim.
· Evite de usar o NFS para a informação sensível e nunca funcione usuários do NFS dos Internet-revestimentos.
· NFS do guarda-fogo para limitar sua exposição na rede mais larga.
· Estada moderna com os remendos da segurança do vendedor! os remendos NFS-RELACIONADOS parecem sair grosso e rápido. Se seu vendedor não fornecesse remendos, esta poderia ser "uma coisa má." Não puderam simplesmente remendar furos sabidos.
· Filesystems da parte em uma base necessit-à-ter. Restrinja isto a de leitura apenas compartilhando de wherever possível. Especifique sempre o nosuid como uma opção, para assegurar-se de que o bocado ajust-identificação não esteja honrado nas limas criadas em filesystems exportados.
· Remova todas as referências ao localhost em sua lima das exportações.
· Não o self-reference um usuário do NFS em sua própria lima da exportação.
· Listas de exportação do limite a 256 caráteres (pseudônimos expandidos including se os pseudônimos estiverem no uso).
· Considere usar um portmapper da recolocação que não envíe, ou o proxy, pedidos de montagem.
· Onde compartilhar de leitura apenas é possível, considere montar um filesystem localmente exportado como de leitura apenas (isto é, em/etc./vfstab ou similar).
A versão 4 do NFS é a geração seguinte do NFS. As execuções prontas da produção não estão prontamente disponíveis ainda. Veja o HTTP: //www.nfsv4.org para mais informação.
As alternativas ao NFS incluem AFS (HTTP: //www.contrib.andrew.cmu.edu/~shadow/afs.html) e CODA (HTTP: //www.coda.cs.cmu.edu/ ).
Online: 404 users browsing the articles directory
|
|