Serviciul NFS este utilizat pentru a monta sisteme de fișiere de la calculatoare la distanță la directoare locale. Cu un control adecvat al accesului, toate sistemele de fișiere exportate sunt strict monitorizate și, prin urmare, probabilitatea de divulgare a informațiilor confidențiale va fi minimă. Dar dacă opțiunile de export nu sunt selectate corect, calculatorul va fi deschis pentru atacuri de la orice mașină externă.
Din punct de vedere al securității, este foarte riscant să exportați sisteme de fișiere în afara granițelor propriei organizații. Cu setările corecte, NFS vă permite să controlați strict toate operațiile de exportare a sistemelor de fișiere din cadrul rețelei locale, dar accesul extern la NFS, precum și la alte servicii RCP trebuie blocate cu ajutorul unui firewall.
Fișierul / etc / exports a fost inițial utilizat pentru a stoca lista sistemelor de fișiere exportate. Mai jos este formatul liniilor din acest fișier.
<каталог> <параметры>[<дополнительные параметры>]
Parametrii vă permit să specificați lista de computere care sunt autorizate să monteze sistemul de fișiere, să specificați drepturile de acces la sistemul de fișiere (read-only sau read-write) și abilitatea utilizatorului de la distanță de a funcționa ca root în ceea ce privește sistemul de fișiere.
Cea mai proastă configurare a fișierului etc / export ar putea arăta astfel.
Contramăsuri pentru configurarea nevalidă a serviciului NFS
Pentru a vă proteja propriile sisteme de fișiere împotriva accesului neautorizat din exterior, interacțiunea cu serviciul NFS trebuie blocată prin utilizarea unui paravan de protecție. Pentru a face acest lucru, trebuie să împiedicați accesul extern la portul 2049. Dacă este posibil, este mai bine să nu porniți deloc serviciul NFS. Puteți să o dezactivați editând /etc/rc#.d.
Dacă serviciul NFS trebuie să funcționeze în mod continuu, asigurați-vă că sunt exportate numai sistemele de fișiere necesare. De exemplu, pentru a monta directoarele inițiale de către utilizatorii la distanță, exportați numai directorul / home în loc de directorul rădăcină /. Verificați configurația serviciului NFS verificând fișierul / etc / exports și asigurați-vă încă o dată că niciun sistem de fișiere nu este exportat tuturor utilizatorilor de Internet cu permisiuni de citire și scriere.
Articole similare
Trimiteți-le prietenilor: