Назад | Перейти на главную страницу

Как сделать NFS безопасным?

Как я могу сделать соединение NFS безопасным? Удаленный сервер находится в Интернете, а не в локальной сети. Сервер не имеет брандмауэра и напрямую подключен к Интернету.

На сервере нет брандмауэра

Если удаленная система небезопасна (и отсутствие каких-либо брандмауэров делает это явно подозрительным), то не имеет значения, что вы делаете со своим соединением - вы не можете быть уверены в безопасности. Это особенно верно для сервера NFS, где аутентификация не привязана к базовому протоколу.

Если ваши утверждения верны (что меня удивляет), узнайте, кто настроил сервер таким образом, и заблокируйте их, прежде чем они смогут причинить больше вреда.

Если вам нужен доступ к NFS через Интернет, используйте VPN (IPSEC, SSL-туннель, SSH-туннель, даже pptp) и ЗАБЛОКИРУЙТЕ весь прямой доступ в Интернет (кроме безопасного соединения) на сервере.

Вы можете туннелировать его через SSH.

  • Вот это руководство для NFS4.
  • Вот это руководство для NFS3.

Если в системе используется NFS, выполните следующие действия:

  1. Если возможно, разрешите доступ только для чтения к вашим экспортированным данным (-ro)
  2. Не экспортируйте корневую папку / или / и т. Д.
  3. Отключите NFS, если вы не хотите экспортировать файловые системы.
  4. Доступ к экспорту NFS должен быть ограничен указанными хостами.
  5. Если присутствуют файловые системы zfs, проверьте также, что их атрибуты не настраивают их для совместного использования через NFS.
  6. Используйте параметр -nosuid для монтирования папок, чтобы предотвратить выполнение программ setuid.
  7. Используйте параметр –nodev для монтирования папок, чтобы предотвратить совместное использование файлов устройства.