Red del sistema de archivos NFS
El Network File System (NFS) protocolo define una forma de co-sistemas operativos para sistemas de archivos compartido. Hoy en día, todo el mundo parece hacer referencia a los montajes NFS como acciones. NFS se basa en el RPC (Remote Procedure Call), un protocolo que define cómo las máquinas pueden hacer llamadas a procedimientos en los equipos remotos como si fueran locales. implementaciones de NFS consiste en algo más que un proceso único servidor NFS. De hecho, requieren mountd, statd y lockd. Estos demonios han tenido una gran cantidad de problemas, especialmente statd. NFS es un protocolo no seguro que usted no desea ejecutar. Confía en mí. Todos los detalles de NFS v2 se puede encontrar en el RFC 1094. NFS v3 se define en el RFC 1813. NFS Riesgos· Si usted está ejecutando una versión sin soporte o sin parche de NFS, estás muerto en el agua si alguien toma una fotografía. · Los errores de configuración comunes con NFS. Compartir sistemas de archivos relacionados con el sistema es buscar problemas. · Autenticación débil se utiliza. Las solicitudes pueden ser falseadas o, a veces mediante proxy a través del asignador de puertos locales. · No se usa la encriptación, para que sus más oscuros secretos de ir a través de la red en texto sin formato. · demonios NFS relacionadas comúnmente ejecutarse como root. Un agujero de seguridad explotable puede dejarle con un compromiso de raíz en sus manos. · Mire su defecto! El archivo / etc / exports (o / dfs / etc / dfstab) controla que sistemas de archivos que compartir y con quién. A menos que se especifique lo contrario, su aplicación puede usar las opciones por defecto a la inseguridad o dar acceso de escritura por defecto. Protección de NFSNo ejecutarlo! Resolver los dolores de cabeza de seguridad en una sola vez no-a su vez, si fuera! Aceptar, por lo que desea esta funcionalidad? Sigue leyendo ... · ¿Es NFS el mecanismo adecuado de intercambio de archivos por lo que quieres? Teniendo en cuenta sus problemas de seguridad, analizar sus necesidades de intercambio de archivos. Por ejemplo, si usted quiere un espejo de algunos archivos, usted podría comprar otro disco (que son baratos en estos días) y el uso rdist a través de SSH para hacer réplicas a otros sistemas. Si usted puede encontrar un camino alrededor de NFS, y luego hacerlo. · Evite el uso de NFS para obtener información sensible y nunca ejecutar servidores expuestos a Internet NFS. • Firewall NFS para limitar su exposición en la red más amplia. · Manténgase al día con los parches de seguridad vendedor! parches relacionadas con NFS parecen salir de espesor y rápido. Si el proveedor no es el suministro de parches, esta podría ser "una cosa mala." No podría ser simplemente remendar los agujeros conocidos. · Compartir sistemas de ficheros en una "necesidad de disponer de una base. Restringir esta a sólo lectura siempre que sea posible el intercambio. Siempre especifique nosuid como una opción, para asegurar que el bit set-id no es honrado en archivos creados en sistemas de archivos exportados. · Eliminar cualquier referencia a localhost en el archivo de las exportaciones. · No auto-referencia a un servidor NFS en su propio archivo de exportación. · Exportación límite de las listas de 256 caracteres (incluyendo alias ampliado si los alias están en uso). · Considere usar un mapeador de puertos de reemplazo que no ha de transmitir, o de aproximación, las peticiones de montaje. . · Cuando el intercambio de sólo lectura es posible, considere la posibilidad de montar un sistema de archivos local exportado como de sólo lectura (es decir, en / etc / vfstab o similar). NFS versión 4 es la próxima generación de NFS. implementaciones de producción listo, no están disponibles todavía. Ver http:/ / www.nfsv4.org para más información. Alternativas para incluir NFS AFS (http:/ / www.contrib.andrew.cmu.edu / ~ / shadow afs.html) Y CODA (http:/ / www.coda.cs.cmu.edu / ). presentada por Andreas Schmidt
|
|||||
|