NFS服務器配置

原來如此

NFS服務器配置

一、軟件版本：
Red Flag WorkStation 5.0
NFS Server
二、安裝：
直接采用系統自帶ＲＰＭ安裝。
三、編輯/etc/exports文件
/tmp *(rw,sync)
/tmp
四、啟動服務器
Service   portmap start
Service   nfs start
Service   nfslock   start
五、客戶端使用
Mount    -t nfs      192.168.0.22:/root  /mnt
六、容易出現的問題：
a)         Portmap沒有正常啟動啟動
b)        當NFS Server 上面的/etc/hosts文件中的域名與本機ＩＰ不對稱時，會出現無法導出共享目錄的現象。即exportfs 命令導出共享時間極長，導致無法導出，或者showmount –e命令顯示本機共離時顯示” mount clntudp_create: RPC: Port mapper failure - RPC: Timed out”錯誤。
c)        NFS server端防火墻導致客戶端無法連接
d)        客戶端防火墻導致客戶端無法連接：
mount clntudp_create: RPC: Port mapper failure - RPC: Timed out）
七、 常用的命令：
Exportfs        -r  當修改過/etc/exports后，盡量使用此命令更新導出共享，而不要使用exportfs –a ,因為發(fā)現使用“-a”參數時，不會刷新已經刪除的共享，而是添加上新開的共享目錄，而參數“-r”則不會有這樣的問題。
Showmount   -e [ IPADDR ]  顯示本機或指定ＩＰ地址的共享目錄。
Rpcinfo 　–p   顯示服務器上面的ＲＰＣ信息，以查看portmap  , nfs服務是否運行正常。

八、 NFS安全 (轉)
NFS的不安全性主要體現于以下4個方面:
1、新手對NFS的訪問控制機制難于做到得心應手,控制目標的精確性難以實現
2、NFS沒有真正的用戶驗證機制,而只有對RPC/Mount請求的過程驗證機制
3、較早的NFS可以使未授權用戶獲得有效的文件句柄
4、在RPC遠程調用中,一個SUID的程序就具有超級用戶權限.
加強NFS安全的方法：
1、合理的設定/etc/exports中共享出去的目錄，最好能使用anonuid，anongid以使MOUNT到NFS SERVER的CLIENT僅僅有最小的權限，最好不要使用root_squash。
2、使用IPTABLE防火墻限制能夠連接到NFS SERVER的機器范圍
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
3、為了防止可能的Dos攻擊，需要合理設定NFSD 的COPY數目。
4、修改/etc/hosts.allow和/etc/hosts.deny達到限制CLIENT的目的
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny
5、改變默認的NFS 端口
NFS默認使用的是111端口，但同時你也可以使用port參數來改變這個端口，這樣就可以在一定程度上增強安全性。
6、使用Kerberos V5作為登陸驗證系統

參考網址：http://www.linuxmine.com/1711.html
                                                                                           2007-6-1


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/14468/showart_316239.html