数据安全谈：看 NFS网络文件系统的安全

NFS是网络文件系统（Network File System）的简称，是分布式计算系统的一个组成部分，可实现在异种网络上共享和装配远程文件系统。NFS由Sun公司开发，目前已经成为文件服务的一种标准（RFC1904，RFC1813）。其最大的功能就是可让不同操作系统的计算机共享数据，所以也可以将它看做是一个文件亿恩科技服务器。NFS提供了除SAMBA之外，Windows与Linux、Unix与Linux之间通信的方法。

任何网络亿恩科技服务器都会有安全（服务器租用找：51033397）问题，NFS也不例外。由于设计方面的因素，NFS亿恩科技服务器不可能绝对安全（服务器租用找：51033397）。一般来说，不应该将NFS亿恩科技服务器运行在比较敏感的系统或者只有一般防火墙的机器上，应该尽量将其置于防火墙之后。配置安全（服务器租用找：51033397）的NFS亿恩科技服务器，可以从限制RCP服务的访问和控制文件系统的导出权限两方面着手。

NFS面临的安全（服务器租用找：51033397）隐患

因为NFS在网络上明文传输所有信息，按照默认设置，NFS共享把根用户改成用户nfsnobody，它是一个不具备特权的用户账号。这样，所有根用户创建的文件都会被用户nfsnobody所有，从而防止了设置setuid的程序被上传到系统。如果使用了no_root_squash，远程用户就能够改变共享文件系统上的任何文件，把设置了特洛伊木马的程序留给其他用户，在无意中执行。

NFS亿恩科技服务器安全（服务器租用找：51033397）策略

（1）使用TCP_Wrappers

portmap和rpc.nfsd结合起来，使NFS亿恩科技服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全（服务器租用找：51033397），在使用NFS时最好结合TCP_Wrappers来限制使用范围。

（2）注意配置文件语法错误

NFS亿恩科技服务器通过/etc/exports文件来决定要导出哪些文件系统，以及把这些目录导出到哪些亿恩科技主机上。编辑这个文件的时候要特别小心，不要添加额外的空格。

例如：/etc/exports文件的以下行会使亿恩科技主机bob.example.com 能够共享/tmp/nfs/目录。

/tmp/nfs/ bob.example.com(rw)

但是 /etc/exports 文件中这一行的情况却不同。它共享同一目录，让亿恩科技主机 bob.example.com 拥有只读权限，却给全局以读写权限。这全是由亿恩科技主机后面的一个空格造成的。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]