NFS
При использовании NFS, безопасность установленных файлов гарантируется NFS сервером.
Пропишите NFS-фильтр в программе маршрутизации.
Filter TCP/UDP on port 111
TCP/UDP on port 2049
Эта операция не позволит компьютеру, не входящему в вашу подсеть, получить доступ к файловым системам, которыми обмениваются ваши машины.
Поставьте все возможные «заплаты».
Применение NFS может повлечь за собой «пробои» в защите. Отключите NFS, если его функции вам не нужны. Просмотрите прилагающуюся к компьютеру документацию.
Предоставьте право NFS проводить мониторинг портов. При этом запросы на монтирование файловой системы будут приниматься только из портов < 1024. В ряде случаев это обеспечит дополнительную защиту. Для того чтобы узнать, есть ли эта опция в вашей версии UNIX, обратитесь к прилагавшейся компьютерной документации.
Используйте /etc/exports или /etc/dfs/dfstab для гарантированного экспортирования только выбранных вами файловых систем.
Если же система не получает от вас указаний о копировании файлов, то экспортирование произведено не будет.
Не создавайте обратную ссылку NFS сервер в его собственном файле экспорта. Иными словами, файл экспорта не должен экспортировать NFS сервер в самого себя ни частично, ни полностью. Кроме того, убедитесь, что NFS сервер не содержится в любой из netgroups, перечисленных в файле экспорта.
Не допускайте чтобы файл экспорта содержал
При экспортировании файлов используйте только полные имена хостов. То есть вводите адрес полностью, machffiename. domainname. au, а не сокращая до machinename.
Убедитесь, что экспортные списки включают не более 256 символов каждый.
Если списки хостов находятся в директории /etc/exports, то в этом случае количество символов в списке не должно превышать 256 символов после имени хоста (в части options).
Периодически запускайте fsirand. Сначала проверьте, установлены ли на вашей машине «заплаты» для fsirand. Затем проверьте, что файловая система размонтирована, и выполните fsirand.
Будьте внимательны, старайтесь не допускать случайного экспортирования файлов.
Используйте опцию a - access=host. domainn ame. au или ее эквивалент в /etc/exports.
За более подробной информацией обращайтесь кдокументации по использованию опций exports или dfstab.
При пересылке файлов маркируйте их «только для чтения» (readonly; - го).
Если в какой-то ситуации вам не обойтись без использования NIS, то используйте безопасную опцию в файле экспорта, и установите запросы (если безопасная опция доступна).
Используйте опцию showmount - e для постоянного инициирования процесса пересылки.
Проверьте, что разрешения /etc/exports установлены на 644.
Убедитесь, что /etc/exports принадлежит корню.
Удостоверьтесь, что вы используете демоны portmapper или rpcbind, не пропускают запросы на монтирование от клиентов сети.
Клиент NFS может запросить демон portmapper направить его запрос на демон mountd. Последний обработает поступивший запрос так, как если бы он пришел непосредственно из portmapper. Если файловая система смонтирована автоматически, это может дать пользователю несанкционированный доступ к файловой системе.
!
Не забудьте, что изменения в /etc/exports начнут действовать только после выполнения опции /usr/etc/exportfs или ее эквивалента.
Обратите янимание: web of trust располагается между хостами, соединенными друг с другом через NFS. При этом подразумевается, что вы доверяете защите используемого NFS-сервера.
