В Network File System (NFS) протокол определяет путь для сотрудничества систем обмена файловых систем. Сегодня, кажется, все ссылки на NFS подключает виде акций.
|
|
NFS базируется на RPC (удаленного вызова процедуры), протокол определяет, как машины могут звонить процедур на удаленных машинах, как если бы они были местными.
NFS реализация состоять из более чем одиночный NFS сервера процесса. По сути, они требуют mountd, statd, а lockd. Эти демоны имеют множество проблем, особенно statd.
NFS является небезопасный протокол, что вы не захотите. Поверьте мне.
Полная информация о NFS v2 можно найти в RFC 1094. NFS v3 определяется в RFC 1813.
· Если у Вас установлена неподдерживаемая или устаревших версии NFS, вы мертвым в воде кто-то принимает выстрел.
· Misconfigurations общие с NFS. Разделение системы связанных файловых просит неприятностей.
· Слабые аутентификации используется. Запросы могут быть сфальсифицированные или иногда прокси-сервер через местные portmapper.
· шифрование не используется, поэтому ваши мрачные тайны идти по сети в виде текстового.
· NFS связанных сервисов обычно запуска. В безопасности эксплуатации дыры могут оставить вас с корневой компромисса на ваших руках.
· Часы Ваш умолчанию! Файл / и т.д. / экспорта (или / и т.д. / dfs / dfstab) файловых систем контроля, которые вы и с кем. Если не указано обратное, осуществления Ваших умолчанию может использовать небезопасные возможности написать или предоставление доступа по умолчанию.
Не запускать его! Решите безопасности головные боли в одной не swoop поворота если покинуть! ОК, так вы хотите эту функцию? Читайте о…
· NFS ли право совместного использования файлов механизм для того, что вы хотите? Учитывая проблемы безопасности, изучить файл обмена требований. Например, если вы хотите зеркало некоторые файлы, можно просто купить другой диск (они дешевые эти дни) и использовать rdist над SSH сделать модели для других систем. Если вы можете найти способ вокруг использованием NFS, а затем сделать это.
· Старайтесь не использовать NFS для чувствительной информацией и никогда не запустить Интернет стоящих NFS серверов.
· Firewall NFS на ограничение показов на широкой сети.
· Будьте в курсе продавца патчей безопасности! NFS связанных патчи, как выйти толстые и быстро. Если поставщик не поставляет патчи, это может как "Bad Thing." Они могут просто не исправляет известные дыры.
· Доля файловые системы по мере необходимости на которые основе. Ограничить это следующим образом - только обмен, где это возможно. Всегда nosuid указать в качестве варианта для того, чтобы установить идентификатор немного не заслуженный файлов из экспортируемых файловых систем.
· Удалите любые ссылки на локальному в вашей экспорта файла.
· Не самоуправления ссылку на NFS сервер в свои собственные файла экспорта.
· Ограничить экспорт списков в 256 символов (включая расширение псевдонимов, если псевдонимы в использовании).
· рассмотреть возможность использования сменной portmapper, что не вперед, или прокси-сервером, горе просьбы. .
· Если читать только обмен можно рассмотреть монтажа на месте экспортируются файловые системы как "только для чтения" (т.е., в / и т.д. / vfstab или аналогичный).
NFS версии 4 - это следующее поколение NFS. Производство готов реализаций не всегда можно найти еще. См. http:/ / www.nfsv4.org для получения дополнительной информации.
Альтернативы включают NFS AFS (http:/ / www.contrib.andrew.cmu.edu / ~ тенью / afs.html) и CODA (http:/ / www.coda.cs.cmu.edu /).
Online: 352 users browsing the articles directory
|
|