Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 5. Server-Sicherheit | Nach vorne |
Das Network File System oder NFS ist ein RPC-Service, der zusammen mit portmap und anderen verwandten Services verwendet wird, um Client-Maschinen Dateisysteme, die vom Netzwerk aus zugängig sind, bereitzustellen. Weitere Informationen zur Funktion von NFS finden Sie im Kapitel Network File System (NFS) im Red Hat Enterprise Linux Referenzhandbuch. Weitere Informationen zur Konfiguration von NFS finden Sie im Red Hat Enterprise Linux Handbuch zur System-Administration. In den folgenden Abschnitten wird ein Grundwissen über NFS vorausgesetzt.
![]() | Wichtig |
---|---|
Es wird empfohlen, dass jeder, der einen NFS-Server implementieren will, erst den portmap-Service, wie unter Abschnitt 5.2 beschrieben, sichert, bevor weitere Angelegenheiten angegangen werden. |
Da NFS empfindliche Informationen unverschlüsselt über das Netzwerk überträgt, ist es wichtig, dass dieser Service hinter eine Firewall und auf einem segmentierten und sicheren Netzwerk ausgeführt wird. Jedes Mal, wenn NIS-Informationen über ein unsicheres Netzwerk übertragen werden, wird das Abfangen von Daten riskiert. Hier kann ein sorgfältiges Design des Netzwerks schwerwiegende Sicherheitsbrüche verhindern.
Der NFS-Server entscheidet über die Datei /etc/exports, welche Dateisysteme exportiert werden sollen und zu welchen Hosts diese Dateisysteme exportiert werden sollen. Achten Sie darauf, dass Sie keine Extra-Leerstellen beim Bearbeiten dieser Datei einfügen.
Die folgende Zeile in der Datei /etc/exports legt fest, dass der Host bob.example.com Lese- und Schreibberechtigung auf das gemeinsame Verzeichnis /tmp/nfs/ erhält.
/tmp/nfs/ bob.example.com(rw) |
Diese Zeile in der Datei /etc/exports beschreibt, dass der Host bob.example.com lediglich Leseberechtigung, jeder allerdings Lese- und Schreibberechtigung hat, wegen des einzelnen Leerzeichens nach dem Hostnamen.
/tmp/nfs/ bob.example.com (rw) |
Es ist sehr sinnvoll, jegliche konfigurierte NFS-Shares mit dem Befehl showmount zu prüfen:
showmount -e <hostname> |
Standardmäßig ändern NFS-Shares den Root-Benutzer in den Benutzer nfsnobody um, ein unprivilegiertes Benutzer-Account. Auf diese Art gehören alle Root-erstellten Dateien dem User nfsnobody, wodurch das Hochladen von Programmen mit der Setuid-Bit-Einstellung verhindert wird.
Wenn no_root_squash verwendet wird, können auswärtige Root-Benutzer jede Datei in dem gemeinsamen Dateisystem verändern und hinterlassen dabei trojanisierte Anwendungen, die von anderen Benutzern unabsichtlich ausgeführt werden.
Zurück | Zum Anfang | Nach vorne |
Sichern von NIS | Nach oben | Sicherung des Apache HTTP Server |