Servidor NFS + cliente: Endurecimiento recomendado / toques finales

Acabamos de configurar un pequeño nfs / cliente por primera vez.

A) El UID para los archivos en el lado del cliente, se muestra como 4294967294 cuando se enumeran a través de ls, pero el cliente es capaz de crear y eliminar archivos / dirs en el recurso compartido. Los archivos y carpetas creados en el extremo del cliente, aparecen con el nombre de usuario correcto (y uid) en el lado del servidor. Nos aseguramos de que los usuarios que escriban al recurso compartido tengan el mismo UID en el servidor.

Lo siguiente aparece para todos los archivos / carpetas en el lado del cliente:

drwxr-xr-x 6 4294967294 4294967294 4096 Feb 23 16:04 foldername 

¿Esta bien?

B) ¿Es necesario hacer algo con portmap / los demonios nfs para desactivar completamente los servicios nfs (o rpc *, ya que no se instaló antes de esto) se ejecuten en nuestra interfaz externa? Idealmente nos gustaría enlazar los servicios sólo a nuestras subredes lan y vpn.

C) ¿Cuál es la manera ideal de hacer que el lado del cliente nfs sea lo más agresivo posible en los intentos de reconexión? Idealmente, si la conexión de red se pierde en cualquier momento, el lado del cliente nfs seguiría intentando a menudo, e indefinidamente. ¿Es posible lograr esto vía fstab? ¿O el cliente nfs por defecto ya lo hace? El lado LAN, donde se comparten las acciones de nfs, es una conexión de 1GBit.

D) ¿Algo más?

Más y más.

2 Solutions collect form web for “Servidor NFS + cliente: Endurecimiento recomendado / toques finales”

Sólo estoy respondiendo a la pregunta de seguridad aquí, ya que eso es lo que tengo más experiencia.

NFS es difícil de proteger. Lo más importante que podría recomendar es usar NFS4 con mecanismos de autenticación GSS, pero seguiré respondiendo como si estuviera usando NFS3 (o incluso NFS2).

  • Especifique IPs, hostnames o netgroups en su archivo de exportaciones. Nunca exportar a * , ya que esto permite a cualquier persona acceder a tu recurso compartido.
  • Nunca utilice las opciones de exportación insecure o no_root_squash . secure mantiene la confianza del servidor limitada a la raíz en el cliente, no cualquier usuario, y root_squash remapa las solicitudes de root a nobody , impidiendo el acceso a archivos del sistema sensibles a través del recurso compartido.
  • Como ya está intentando hacer, no permita el acceso al portmapper, rpc.nfsd o rpc.mountd desde Internet. Una buena configuración de red (cortafuegos, ACL del enrutador, etc.) garantizará esto, pero la opción -i de portmap y el uso del archivo hosts.allow para limitar el acceso a las direcciones IP locales también son buenas ideas.

Si desea probar su configuración para problemas de seguridad, he escrito un programa de Python para pasar por alto los mecanismos de seguridad NFS básicos, NfSpy . Siéntase libre de probarlo y ver si puede acceder a su exportación de manera que no esperaba.

PS Con respecto a los intentos de reconexión de clientes, consulte la sección MOUNT OPTIONS de la página de manual nfs (5). En general, las opciones retrans y hard / soft controlan lo que se desea, pero en base a petición. El montaje en sí se mantendrá hasta incluso si el servidor se cae durante períodos prolongados. Estos ajustes determinan cómo se manejan las peticiones específicas (lectura, escritura, etc).

Este es un tema muy amplio en realidad, y nada que se puede responder rápidamente con un solo mensaje. Creo que deberías empezar por leer algunas de las muchas guías sobre endurecimiento y las mejores prácticas para servidores y clientes NFS.

Corrí una búsqueda rápida en google y encontré dos enlaces que podrían interesarte:

Asegurar NFS

Linux NFS-HOWTO

(Contiene las mejores prácticas y muchas otras buenas noticias sobre seguridad y ajustes)

  • Netstat muestra un puerto de escucha sin pid pero lsof no
  • Conectar controller de dominio Windows Server 2003 a otro en Windows Server 2003
  • Los clientes de Windows 7 que se conectan a MSMQ en el cuadro de Windows XP fallan - Parece que está fallando RPC
  • TermService no funciona
  • ¿Cuál es la diferencia entre la configuration del range de puertos DTC a través de Registry y dcomcnfg?
  • apt-get purge portmap
  • No se pueden emitir commands a un server remoto cuando se utiliza la dirección IP
  • netstat muestra un puerto de escucha sin pid, pero lsof no
  • rpcbind que causa una carga muy alta en el sistema Fedora 10 con nfs
  • NIS falla en vincular
  • ¿Por qué rpc.lockd está oscurecido desde la salida netstat / lsof?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.