Die Art, wie NFS bei der gemeinsamen Verwendung ganzer Dateisysteme mit einer großen Anzahl bekannter Hosts arbeitet, ist gut zu durchschauen. Viele Benutzer haben über einen NFS-Mount-Zugriff auf Dateien, wobei sie nicht wissen, dass sich diese Dateisysteme nicht auf ihrem lokalen System befinden. Aus diesem Vorteil können sich jedoch auch eine Reihe potenzieller Sicherheitsprobleme ergeben.
Folgende Punkte sollten beim Exportieren von NFS-Dateisystemen auf einem Server oder beim Mounten dieser Dateisysteme auf einem Client beachtet werden. Dadurch können die Sicherheitsrisiken von NFS verringert und Ihre Daten besser geschützt werden.
NFS steuert anhand des Hosts, der die Anfrage zum Mounten stellt, wer ein exportiertes Dateisystem mounten kann (und nicht anhand des Benutzers, der das Dateisystem tatsächlich verwendet). Die Hosts müssen über die Berechtigung verfügen, exportierte Dateisysteme zu mounten. Für Benutzer ist keine Zugriffskontrolle möglich, mit Ausnahme der Berechtigungen für Dateien und Verzeichnisse. Mit anderen Worten, wenn Sie ein Dateisystem via NFS auf einen Remote- Host exportieren, haben Sie die Berechtigung zum Mounten dieses Dateisystems. Weiterhin erlauben Sie jedem Benutzer, der Zugriff auf diesen Host hat, Ihr Dateisystem zu verwenden. Die dadurch entstehenden Risiken können kontrolliert werden, z.B. wenn nur im schreibgeschützten Modus gemountet werden kann oder Benutzer zu einer allgemeinen Benutzer- und Gruppen-ID zusammengefasst werden. Diese Lösungen können jedoch auch Auswirkungen auf die ursprünglich beabsichtige Art des Mountens haben.
Wenn eine nicht berechtigte Person die Kontrolle über den DNS-Server erlangt, der vom System zum Exportieren des NFS-Dateisystems verwendet wird, kann das System, dem ein bestimmter Hostname zugeordnet ist oder der komplette Domain-Name auf einen nicht autorisierten Computer hinweisen. An diesem Punkt ist dieser nicht autorisierte Computer das System, das das NFS-Share mounten kann, bis zu dem Zeitpunkt, an dem die Informationen über den Benutzernamen oder das Passwort zur zusätzlichen Sicherheit der NFS-Mounts geändert werden. Für NIS-Server bestehen die gleichen Risiken, wenn NIS-Netzgruppen verwendet werden, um bestimmten Hosts das Mounten eines NFS-Shares erlauben. Wenn in /etc/exports IP-Adressen verwendet werden, ist das Risiko geringer.
Wildcards sollten sparsam verwendet werden, wenn Zugriff auf ein NFS-Share gewährt wird, da sich der Anwendungsbereich von Wildcards auf Systeme erstrecken kann, von denen Sie nicht einmal wissen, dass es sie gibt.
Für mehr Informationen zur Sicherung von NFS, sehen Sie das Kapitel Server Security in der Red Hat Linux Security Guide.
Wenn ein Remote-Host das NFS-Dateisystem im Read-Write-Modus gemountet hat, umfasst der Schutz der Share-Dateien auch deren Berechtigungen, die Benutzer- und die Gruppen-ID. Zwei Benutzer, die die gleiche Benutzer-ID zum Mounten des gleichen NFS-Dateisystems verwenden, können die Dateien gegenseitig modifizieren. Jeder, der als Root angemeldet ist, kann den Befehl su - verwenden, um über das NFS-Share Zugang zu bestimmten Dateien zu erlangen. Für mehr zu NFS und Userid-Konflikten, sehen Sie Kapitel Managing Accounts and Groups im Red Hat Linux System Administration Primer.
Standardmäßig wird beim Exportieren eines Dateisystems via NFS Root-Squashing verwendet. Dies setzt die Benutzer-ID von jedem, der auf die NFS-Share zugreift, auf dem jeweiligen lokalen Rechner auf einen Wert des "Nobody"-Accounts. Schalten Sie Root-Squashing niemals aus.
Wenn Sie eine NFS-Share als Nur-Lesen exportieren, verwenden Sie die Option all_squash, wodurch alle Benutzer, die auf Ihr exportiertes Dateisystem Zugriff haben, die Benutzer-ID "Nobody" erhalten.
Zurück | Zum Anfang | Vor |
NFS-Client-Konfigurationsdateien | Zum Kapitelanfang | Zusätzliche Ressourcen |