數據安全談：看 NFS網絡文件系統的安全

NFS是網絡文件系統（Network File System）的簡稱，是分布式計算系統的一個組成部分，可實現在異種網絡上共享和裝配遠程文件系統。NFS由Sun公司開發，目前已經成為文件服務的一種標準（RFC1904，RFC1813）。其最大的功能就是可讓不同操作系統的計算機共享數據，所以也可以將它看做是一個文件億恩科技服務器。NFS提供了除SAMBA之外，Windows與Linux、Unix與Linux之間通信的方法。

任何網絡億恩科技服務器都會有安全（服務器租用找：51033397）問題，NFS也不例外。由于設計方面的因素，NFS億恩科技服務器不可能絕對安全（服務器租用找：51033397）。一般來說，不應該將NFS億恩科技服務器運行在比較敏感的系統或者只有一般防火墻的機器上，應該盡量將其置于防火墻之后。配置安全（服務器租用找：51033397）的NFS億恩科技服務器，可以從限制RCP服務的訪問和控制文件系統的導出權限兩方面著手。

NFS面臨的安全（服務器租用找：51033397）隱患

因為NFS在網絡上明文傳輸所有信息，按照默認設置，NFS共享把根用戶改成用戶nfsnobody，它是一個不具備特權的用戶賬號。這樣，所有根用戶創建的文件都會被用戶nfsnobody所有，從而防止了設置setuid的程序被上傳到系統。如果使用了no_root_squash，遠程用戶就能夠改變共享文件系統上的任何文件，把設置了特洛伊木馬的程序留給其他用戶，在無意中執行。

NFS億恩科技服務器安全（服務器租用找：51033397）策略

（1）使用TCP_Wrappers

portmap和rpc.nfsd結合起來，使NFS億恩科技服務器上的文件即使沒有任何權限也能容易得到。可以使用訪問控制保障網絡安全（服務器租用找：51033397），在使用NFS時最好結合TCP_Wrappers來限制使用范圍。

（2）注意配置文件語法錯誤

NFS億恩科技服務器通過/etc/exports文件來決定要導出哪些文件系統，以及把這些目錄導出到哪些億恩科技主機上。編輯這個文件的時候要特別小心，不要添加額外的空格。

例如：/etc/exports文件的以下行會使億恩科技主機bob.example.com 能夠共享/tmp/nfs/目錄。

/tmp/nfs/ bob.example.com(rw)

但是 /etc/exports 文件中這一行的情況卻不同。它共享同一目錄，讓億恩科技主機 bob.example.com 擁有只讀權限，卻給全局以讀寫權限。這全是由億恩科技主機后面的一個空格造成的。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]