NFS服务器配置

原来如此

NFS服务器配置

一、软件版本：
Red Flag WorkStation 5.0
NFS Server
二、安装：
直接采用系统自带ＲＰＭ安装。
三、编辑/etc/exports文件
/tmp *(rw,sync)
/tmp
四、启动服务器
Service   portmap start
Service   nfs start
Service   nfslock   start
五、客户端使用
Mount    -t nfs      192.168.0.22:/root  /mnt
六、容易出现的问题：
a)         Portmap没有正常启动启动
b)        当NFS Server 上面的/etc/hosts文件中的域名与本机ＩＰ不对称时，会出现无法导出共享目录的现象。即exportfs 命令导出共享时间极长，导致无法导出，或者showmount –e命令显示本机共离时显示” mount clntudp_create: RPC: Port mapper failure - RPC: Timed out”错误。
c)        NFS server端防火墙导致客户端无法连接
d)        客户端防火墙导致客户端无法连接：
mount clntudp_create: RPC: Port mapper failure - RPC: Timed out）
七、 常用的命令：
Exportfs        -r  当修改过/etc/exports后，尽量使用此命令更新导出共享，而不要使用exportfs –a ,因为发现使用“-a”参数时，不会刷新已经删除的共享，而是添加上新开的共享目录，而参数“-r”则不会有这样的问题。
Showmount   -e [ IPADDR ]  显示本机或指定ＩＰ地址的共享目录。
Rpcinfo 　–p   显示服务器上面的ＲＰＣ信息，以查看portmap  , nfs服务是否运行正常。

八、 NFS安全 (转)
NFS的不安全性主要体现于以下4个方面:
1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现
2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制
3、较早的NFS可以使未授权用户获得有效的文件句柄
4、在RPC远程调用中,一个SUID的程序就具有超级用户权限.
加强NFS安全的方法：
1、合理的设定/etc/exports中共享出去的目录，最好能使用anonuid，anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限，最好不要使用root_squash。
2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
3、为了防止可能的Dos攻击，需要合理设定NFSD 的COPY数目。
4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny
5、改变默认的NFS 端口
NFS默认使用的是111端口，但同时你也可以使用port参数来改变这个端口，这样就可以在一定程度上增强安全性。
6、使用Kerberos V5作为登陆验证系统

参考网址：http://www.linuxmine.com/1711.html
                                                                                           2007-6-1


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/14468/showart_316239.html