Red Flag下NFS伺服器配置

一、軟體版本：

Red Flag WorkStation 5.0

NFS Server

二、安裝：

直接采用系統自帶ＲＰＭ安裝。

三、編輯/etc/exports檔案

/tmp *(rw,sync)

/tmp

四、啟動伺服器

Service   portmap start

Service   nfs start

Service   nfslock   start

五、用戶端使用

Mount    -t nfs      192.168.0.22:/root  /mnt

六、容易出現的問題：

a)         Portmap沒有正常啟動啟動

b)        當NFS Server 上面的/etc/hosts檔案中的域名與本機ＩＰ不對稱時，會出現無法導出共享目錄的現象。即exportfs 指令導出共享時間極長，導緻無法導出，或者showmount –e指令顯示本機共離時顯示” mount clntudp_create: RPC: Port mapper failure - RPC: Timed out”錯誤。

c)        NFS server端防火牆導緻用戶端無法連接配接

d)        用戶端防火牆導緻用戶端無法連接配接：

mount clntudp_create: RPC: Port mapper failure - RPC: Timed out）

七、 常用的指令：

Exportfs        -r  當修改過/etc/exports後，盡量使用此指令更新導出共享，而不要使用exportfs –a ,因為發現使用“-a”參數時，不會重新整理已經删除的共享，而是添加上新開的共享目錄，而參數“-r”則不會有這樣的問題。

Showmount   -e [ IPADDR ]  顯示本機或指定ＩＰ位址的共享目錄。

Rpcinfo 　–p   顯示伺服器上面的ＲＰＣ資訊，以檢視portmap  , nfs服務是否運作正常。

八、 NFS安全 (轉)

NFS的不安全性主要展現于以下4個方面:

1、新手對NFS的通路控制機制難于做到得心應手,控制目标的精确性難以實作

2、NFS沒有真正的使用者驗證機制,而隻有對RPC/Mount請求的過程驗證機制

3、較早的NFS可以使未授權使用者獲得有效的檔案句柄

4、在RPC遠端調用中,一個SUID的程式就具有超級使用者權限.

加強NFS安全的方法：

1、合理的設定/etc/exports中共享出去的目錄，最好能使用anonuid，anongid以使MOUNT到NFS SERVER的CLIENT僅僅有最小的權限，最好不要使用root_squash。

2、使用IPTABLE防火牆限制能夠連接配接到NFS SERVER的機器範圍

iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT

iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

3、為了防止可能的Dos攻擊，需要合理設定NFSD 的COPY數目。

4、修改/etc/hosts.allow和/etc/hosts.deny達到限制CLIENT的目的

/etc/hosts.allow

portmap: 192.168.0.0/255.255.255.0 : allow

portmap: 140.116.44.125 : allow

/etc/hosts.deny

portmap: ALL : deny

5、改變預設的NFS 端口

NFS預設使用的是111端口，但同時你也可以使用port參數來改變這個端口，這樣就可以在一定程度上增強安全性。

6、使用Kerberos V5作為登陸驗證系統

參考網址：[url]http://www.linuxmine.com/1711.html[/url]