Red Flag下NFS服务器配置

一、 软件版本：

Red Flag WorkStation 5.0

NFS Server

二、 安装：

直接采用系统自带ＲＰＭ安装。

三、 编辑 /etc/exports 文件

/tmp *(rw,sync)

/tmp

四、 启动服务器

Service   portmap start

Service   nfs start

Service   nfslock   start

五、 客户端使用

Mount    -t nfs      192.168.0.22:/root  /mnt

六、 容易出现的问题：

a)         Portmap 没有正常启动启动

b)        当 NFS Server 上面的 /etc/hosts 文件中的域名与本机ＩＰ不对称时，会出现无法导出共享目录的现象。即 exportfs 命令导出共享时间极长，导致无法导出，或者 showmount �Ce 命令显示本机共离时显示 ” mount clntudp_create: RPC: Port mapper failure - RPC: Timed out” 错误。

c)        NFS server 端防火墙导致客户端无法连接

d)        客户端防火墙导致客户端无法连接：

mount clntudp_create: RPC: Port mapper failure - RPC: Timed out ）

七、 常用的命令：

Exportfs        -r  当修改过 /etc/exports 后，尽量使用此命令更新导出共享，而不要使用 exportfs �Ca , 因为发现使用“ -a ”参数时，不会刷新已经删除的共享，而是添加上新开的共享目录，而参数“ -r ”则不会有这样的问题。

Showmount   -e [ IPADDR ]  显示本机或指定ＩＰ地址的共享目录。

Rpcinfo 　 �Cp   显示服务器上面的ＲＰＣ信息，以查看 portmap  , nfs 服务是否运行正常。

 

八、 NFS 安全 ( 转 )
NFS 的不安全性主要体现于以下 4 个方面 :

1 、新手对 NFS 的访问控制机制难于做到得心应手 , 控制目标的精确性难以实现
2 、 NFS 没有真正的用户验证机制 , 而只有对 RPC/Mount 请求的过程验证机制
3 、较早的 NFS 可以使未授权用户获得有效的文件句柄
4 、在 RPC 远程调用中 , 一个 SUID 的程序就具有超级用户权限 .

加强 NFS 安全的方法：
1 、合理的设定 /etc/exports 中共享出去的目录，最好能使用 anonuid ， anongid 以使 MOUNT 到 NFS SERVER 的 CLIENT 仅仅有最小的权限，最好不要使用 root_squash 。
2 、使用 IPTABLE 防火墙限制能够连接到 NFS SERVER 的机器范围
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
3 、为了防止可能的 Dos 攻击，需要合理设定 NFSD 的 COPY 数目。
4 、修改 /etc/hosts.allow 和 /etc/hosts.deny 达到限制 CLIENT 的目的
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow

/etc/hosts.deny
portmap: ALL : deny
5 、改变默认的 NFS 端口
NFS 默认使用的是 111 端口，但同时你也可以使用 port 参数来改变这个端口，这样就可以在一定程度上增强安全性。
6 、使用 Kerberos V5 作为登陆验证系统

 

参考网址： [url]http://www.linuxmine.com/1711.html[/url]