Linux1 NFS服务的主配置文件

Linux1——NFS的文件存取权限用户在使用NFS客户端上的某一用户身份（如yl）去存取/nfs/share这个来自NFS服务器上的文件系统时，会存在一个身份认证问题，即NFS服务器会允许用户以yl去存取文件系统还是其它身份。

由于NFS本身并没有身份认证机制，所有当用户在客户端以某一身份（如yl）来存取服务器端的文件系统时，服务器会以客户端用户的UID与GID等身份来尝试读取服务器端的文件系统，而在此存在一个客户端与服务器端的用户身份不一致的问题，因此了解NFS文件存取权限十分必要，如图3-10所示为NFS服务器与客户端的用户身份确认示意图。

其中，UID是用户身份证明（User Identification）的缩写。

在NFS中，UID是文件所有者的用户ID，是一个32位无符号整数；GID是所有组的组ID，是一个32位的整数，GID 0是给名为“root”的组保留的。

NFS客户端图3-10 NFS服务器与客户端的用户身份确认示意图当用户以yl这个一般用户身份去存取来自服务器端的文件系统时，一般情况下，Linux主机会主动以自己的/etc/passwd、/etc/group来对比查询对于的用户名及组名。

所有当yl进入到该目录后，会对比NFS客户端的用户名与组名。

但由于该目录的文件来自NFS服务器，因此可能包括以下一些情况：1．有相同的账号与组如果NFS服务器与NFS客户端刚好存在相同的账号与组，那么此时用户可以直接以yl的身份对服务器所提供的文件系统进行存取。

2．UID相同但用户名不同如果NFS服务器上的/etc/passwd配置文件中UID 501的使用者名称为yy时，则客户端的yl可以存取服务器端的yy这个使用者的文件系统。

这是因为2者具有相同的UID。

但这同时也带来了很大的安全问题了。

因为没有人可以保证客户端的UID所对应的账号会与服务器端相同，那么非法的使用者就可能会对服务器端所提供的数据进行修改，从而带来安全隐患。

Linux1 启动和停止NFS服务配置文件完成后，就可以启动NFS服务，以使NFS服务器正常工作。

由于启动NFS服务还需要portmap的协助，因此在启动NFS服务之前必须先启动portmap 服务。

1．启动NFS服务用户可以在终端中，先输入“/etc/init.d/portmap start”命令，按【回车】键，以启动portmap服务。

然后，在输入“/etc/init.d/nfs start”命令来启动NFS服务，如图3-14所示。

图3-14 启动NFS服务另外，用户也可以在终端中，先输入“service portmap start”命令，按【回车】键，以启动portmap服务。

然后，输入“service nfs start”命令，并按【回车】键，以启动NFS服务，如图3-15所示。

图3-15 启动NFS服务2．停止NFS服务与启动NFS服务相反，在停止NFS服务之前，需要首先停止NFS服务再停止portmap服务。

如果系统中还有其它服务（如NIS服务），由于NIS服务需要使用portmap服务，因此此时不能够停止portmap服务。

用户可以在终端中，输入“/etc/init.d/nfs stop”命令，以停止NFS服务。

如果需要再输入“/etc/init.d/portmap stop”命令，以停止portmap服务，如图3-16所示。

图3-16 停止NFS服务同样，用户可以在终端中，输入“service nfs stop”命令，以停止NFS服务。

然后，在输入“service portmap stop”命令，以停止portmap服务，如图3-17所示。

图3-17 停止NFS服务3．重新启动NFS服务每次修改配置文件后，都需要重新启动NFS服务使配置生效。

在重新启动NFS 服务使，只需要使用“/etc/init.d/nfs restart”命令即可，如图3-18所示。

图3-18 重新启动NFS服务4．自动启动NFS服务对于实际应用中的Linux系统，每次开机后都需要手动启动NFS服务时很繁琐的一项工作，因此，应该设置系统在指定的运行级别（通常为3和5）自动启动portmap 服务和NFS服务。

一、NFS（Network File System）的基本概念和安装1、概述NFS不仅是一种网络协议，也是一个文件系统类型和网络服务NFS是系统间进行文件共享的一种网络协议，它与http和ftp协议不同，不需要把文件从服务器下载到本地来访问在NFS的应用结构中有服务器和客户机两种角色NFS客户端通过挂载NFS文件系统的方式访问NFS服务器中输出的共享目录在同一台主机中即可以是NFS服务器也可以作为NFS客户机NFS网络共享的一般用法在NFS服务器主机中进行设置安装NFS服务器软件包启动NFS服务器程序设置NFS共享目录输出在NFS客户机中进行设置使用mount命令挂载NFS服务器中的NFS共享目录到文件系统中通过NFS文件系统的挂载点目录访问NFS服务器中的共享内容2、NFS服务器的安装portmap软件包提供了运行portmap服务所需的文件。

portmap服务为NFS等服务器程序提供RPC（远程过程调用）服务的支持nfs-utils软件包提供了NFS服务器的启动脚本和管理维护工具软件包安装“nfs-utils”和“portmap”两个软件包在RHEL4系统中是默认安装的（在第二张光盘中）查看是否安装#rpm -q nfs-utils portmap二、NFS服务器的配置1、NFS服务器的配置文件“exports”文件用于配置NFS服务器中输出的共享目录# cat /etc/exports （文件中的内容默认为空）文件格式/home/share *(sync,ro) /home/share--nfs共享目录名，*客户端主机地址*表示所有主机，(sync,ro)设置选项字段说明nfs共享目录名需要进行输出的NFS共享目录名称（用绝对路径）客户端主机地址能够访问共享目录的主机地址设置选项设置共享目录的属性1）nfs共享目录名需要进行输出的NFS共享目录名称（用绝对路径）2）客户端主机地址”字段可以使用多种形式表示主机地址实例说明192.168.152.13 指定IP地址的主机 指定域名的主机192.168.1.0/24 指定网段中的所有主机* 指定域下的所有主机* 所有主机3）设置选项exports文件中的“配置选项”字段放置在括号对（“( )”）中，多个选项间用逗号分隔sync：设置NFS服务器同步写磁盘，这样不会轻易丢失数据，建议所有的NFS 共享目录都使用该选项ro：设置输出的共享目录只读，与rw不能共同使用rw：设置输出的共享目录可读写，与ro不能共同使用exports文件配置实例配置NFS服务器输出的共享目录输出“/home/share”目录，对所有主机可读，对地址为192.168.1.19的主机可读可写输出“/home/pub”目录，对192.168.152.0子网内的所有主机可读# cat /etc/exports/home/share *(sync,ro) 192.168.1.19(sync,rw)/home/pub 192.168.152.0/24(sync,ro)2、NFS服务器的启动与停止查询服务器的状态为了保证NFS服务器能够正常工作，系统中需要运行portmap和nfs两个服务程序# service portmap status# service nfs status启动服务器# service portmap start# service nfs start停止服务器运行# service nfs stop（通常只停止nfs服务，不需要停止portmap服务，因为portmap 支持系统中包括nfs在内的多个服务，如果停止可能影响其他服务）4）设置服务器的开机启动状态nfs服务要保证系统开机自动运行3、5级别查看chkconfig --list portmap或nfs设置chkconfig --level 35 portmap或nfs on3、showmount命令1）showmount命令的帮助信息showmount命令用于查询显示NFS服务器的相关信息# showmount --helpUsage: showmount [-adehv][--all] [--directories] [--exports][--no-headers] [--help] [--version] [host]2）显示主机的NFS服务器信息显示当前主机中NFS服务器的连接信息# showmount显示指定主机中NFS服务器的连接信息# showmount 192.168.152.1313）显示NFS服务器的输出目录列表显示当前主机中NFS服务器的输出列表# showmount -e显示指定NFS服务器中的共享目录列表# showmount -e 192.168.152.1314）显示NFS服务器中被挂载的共享目录显示当前主机NFS服务器中已经被NFS客户机挂载使用的共享目录# showmount -d5）显示NFS服务器的客户机与被挂载的目录显示当前主机中NFS服务器的客户机信息# showmount -a显示指定主机中NFS服务器的客户机信息# showmount -a 192.168.152.1314、exportfs命令1）重新输出共享目录（可以使新设置的文件内容生效）使nfs服务器重新读取exports文件中的设置# exportfs -rv2）停止输出所有目录停止当前主机中NFS服务器的所有目录输出# exportfs -auv3）输出（启用）所有目录输出当前主机中NFS服务器的所有共享目录# showmount -av5、启动NFS服务器图形配置工具可使用命令和菜单两种方式启动NFS配置工具命令$ system-config-nfs菜单applications--SystemSettings--Server Settings两种方式都需要root权限在nfs管理工具中进行的所有配置在退出时将保存在/etc/exports中三、NFS客户端配置1、Linux客户端挂载NFS文件系统1）显示NFS服务器的输出# showmount -e 192.168.152.1312）挂载NFS服务器中的共享目录# mount -t nfs \192.168.152.131:/home/share/ /mnt/ （-t选项指定需要挂载的文件系统类型为nfs，主机地址与共享目录之间用冒号分隔）3）显示当前主机挂载的nfs共享目录#mount | grep mnt192.168.152.131:/home/share/ on /mnt type nfs (rw,addr=192.168.152.131) 4）卸载系统中已挂载的NFS共享目录#umount /mnt5）系统启动时自动挂载nfs文件系统将NFS的共享目录挂载信息写入“/etc/fstab”文件，可实现对NFS共享目录的自动挂载# tail -1 /etc/fstab192.168.152.131:/home/pub /mnt nfs defaults 0 0 （defaults是挂载选项）对于fstab文件也可以使用mount和umount挂载、卸载2、在Windows中使用NFS客户端1）概述Windows操作系统中可以通过安装NFS客户端软件实现对NFS服务器的访问Omni LiteOmni Lite是比较常用的Windows操作系统中运行的NFS客户端软件Omni Lite是商业软件，可以下载并进行试用ftp:///pub/xlink_demo/cnet/liteall.exeOmni Lite可以运行于Windows 95之后的所有Windows操作系统Omni Lite的试用期限为15天2）Omni Lite使用步骤A启动NFS Client程序在Windows操作系统中选择“开始”=〉“程序”=〉“Omni-Lite V4.13”菜单，并选择“NFS Client”程序项启动NFS客户端程序B设置NFS服务器主机记录选择HOSTEDIT按钮,选择“New”菜单项添加一个指向Linux NFS服务器的主机记录C定义NFS驱动器的连接在nfs client界面中--》define--》browse--》在server列表中选择已定义的主机名，这时显示右侧的exported path列表--》选择要挂载的目录路径--》ok--》下一步--》设置uid、gid均为65534（65534是rhel4系统中nfs匿名用户和组nfsnobody的uid和gid）--》下一步--》显示设置内容D挂载NFS驱动器在nfs client界面中--》选已配置的nfs启动器--》单击mount（盘符由黄色变为绿色表示挂载成功）E使用NFS网络驱动器和使用本地磁盘一样F卸载NFS驱动器在nfs client界面中选择要卸载的驱动器--》单击umount 这应该对你有帮助。

NFS服务器+客户端配置NFS：Network File System使⽤NFS需要启⽤RPC(remoteprocedure call），RPC可以指定每个NFS功能所对应的端⼝号，重启RPC后，RPC所管理的所有NFS功能服务都需重新向RPC注册。

设置NFS需要安装nfs-utils和portmap程序，使⽤rpm –q可以查看是否安装。

nfs-utils：提供rpc.nfsd和rpc.mountd两个daemon与其他document说明⽂件。

rpc.nfsd：管理client是否能够登⼊主机，及对登⼊者ID的辨别。

rpc.mountd：管理NFS⽂件系统，读取/etc/exports对⽐client取得相应的权限。

portmap：端⼝映射；在启动rpc之前做好端⼝映射⼯作。

NFS的配置⽂件：/etc/exports：NFS配置⽂件/var/lib/nfs/*tab：NFS服务器⽇志放置路径；etab记录共享出来的⽬录完整权限设置值；xtab记录曾经连接到此NFS主机的相关客户端数据NFS的两个命令：/usr/sbin/exportfs：维护NFS共享资源；重新共享/etc/exports变更⽬录或将NFS server共享⽬录卸载或重新共享/usr/sbin/showmount：在客户端查看NFS服务器共享出来的⽬录资源/etc/exports配置⽂件/etc/exports配置⽂件说明格式：<输出⽬录> [ 客户端1 选项（访问权限,⽤户映射,其他）] [客户端2 选项（访问权限,⽤户映射,其他）]共享⽬录必须使⽤绝对路径，权限部分依照不同的权限共享给不同的主机，括号内是设置权限参数的位置，权限不⽌⼀个时，使⽤ , 隔开，主机名和括号连在⼀起。

主机名设置可以使⽤⽹段：192.168.1.0/24或完整IP：192.168.1.23；也可以使⽤主机名称，但此主机名称需要存在于/etc/hosts中或使⽤DNS可以找到，找到IP即可，主机名⽀持通配符，如*？/mnt/sda4/share/images 192.168.23.129(rw)# 设置共享⽬录/mnt/sda4/share/images，仅192.168.23.129主机允许访问此共享⽬录，具有读写权限/mnt/sda4/share/data 192.168.23.129(rw) *(ro)# 设置共享⽬录/mnt/sda4/share/data，192.168.23.129可以读写该共享⽬录，其他主机只可以读取该共享⽬录/mnt/sda4/share/icon 192.168.23.129(no_root_squash)# 设置共享⽬录/mnt/sda4/share/icon，仅192.168.23.129可以访问和读写，root登录时拥有root权限/mnt/sda4/share/ds 192.168.23.0/24(rw)# 设置共享⽬录/mnt/sda4/share/ds，仅有192.168.23.0/24⽹段的主机才可访问和读写此⽬录⽂件/mnt/sda4/share/diaos *(rw,all_squash,anonuid=500,anongid=500)# 设置共享⽬录/mnt/sda4/share/diaos，所有主机都允许访问此共享⽬录，具有读写权限，但他们访问该共享⽬录时，已将其UID、GID设置成500。

linuxNFS安装配置及常见问题、etcexports配置⽂件、showmount命令1，服务器端软件：安装nfs-utils和portmap（rpcbind）nfs-utils：提供rpc.nfsd 及 rpc.mountd这两个NFS DAEMONS的套件portmap: NFS其实可以被看作是⼀个RPC SERVER PROGRAM,⽽要启动⼀个RPC SERVER PROGRAM，都要做好PORT 的对应⼯作，⽽且这样的任务就是由PORTMAP来完成的。

通俗的说PortMap就是⽤来做PORT的mapping的。

NFS需要启动的DAEMONS：参考pc.nfsd:主要复杂登陆权限检测等必须portmap：处理RPC程序客户端和服务器端的端⼝对应必须rpc.mountd：负责NFS的档案系统，当CLIENT端通过rpc.nfsd登陆SERVER后，对clinet存取server的⽂件进⾏⼀系列的管理必须lockd：处理通过RPC包的锁定请求statd：为nfs锁定服务提供crash恢复功能rquotad：处理当⽤户通过nfsmount到远程服务器时的配额守护进程启动顺序：rpc.portmap, rpc.mountd, rpc.nfsd, rpc.statd, rpc.lockd (新版本会⾃动跟着nfsd启动起来),rpc.rquotadNF服务器端命令：•yum install nfs-utils portmap•chkconfig rpcbind on #chkconfig：更新和查询各运⾏级别的系统服务•chkconfig nfs on•service rpcbind start•service nfs start2，服务器端配置⽂件/etc/exports：指定要共享的⽬录及权限 man exports复制代码代码如下:#：允许ip地址范围在192.168.0.*的计算机以读写的权限来访问/home/work ⽬录。

LINUX NFS配置手册一、Server端配置：1./etc/exports格式：编辑/etc/exports,#vim /etc/exports例：共享/share目录给192.168.0.x的用户/share 192.168.0.0/24 (rw,no_root_squash)目录选项选项说明：ro ：read onlyrw ：read writeno_root_squash ：信任客户端，对应UID若不想每次修改配置文件后重启nfs服务，可使用exportfs命令：如：# exportfs -au 卸载所有共享目录# exportfs -rv 重新共享所有目录并输出详细信息更多exportfs用法可以使用命令man exportfs查看2.启动portmap服务：service portmap start[restart]3.启动NFS服务：service nfs start[restart]4.NFS服务固定端口修改/etc/service,添加以下内容（端口号必须在1024以下，且未被占用）# Local servicesmountd 1011/tcp #rpc.mountdmountd 1011/udp #rpc.mountdrquotad 1012/tcp #rpc.rquotadrquotad 1012/udp #rpc.rquotad重起nfs服务service nfs restart5. 此时相关端口已经被固定，可以添加防火墙规则#vim /etc/sysconfig/iptables#portmap-A INPUT -m state --state NEW -m tcp -p tcp --dport 111 -j ACCEPT-A INPUT -m state --state NEW -m udp -p udp --dport 111 -j ACCEPT#nfsd-A INPUT -m state --state NEW -m tcp -p tcp --dport 2049 -j ACCEPT-A INPUT -m state --state NEW -m udp -p udp --dport 2049 -j ACCEPT#mountd-A INPUT -m state --state NEW -m tcp -p tcp --dport 1011 -j ACCEPT-A INPUT -m state --state NEW -m udp -p udp --dport 1011 -j ACCEPT#rquotad-A INPUT -m state --state NEW -m tcp -p tcp --dport 1012 -j ACCEPT-A INPUT -m state --state NEW -m udp -p udp --dport 1012 -j ACCEPT#service iptables restart二、Client端配置:1.启动portmap服务：service portmap start[restart]2.挂载服务器端的共享目录(假设服务器端192.168.0.1)：mount -t nfs 192.168.0.1:/share /mnt/localshare3. 如果在开机時就加载,可在/etc/fstab中加入ip:/shara /mnt nfs intr注：ip为server端ip，/share为server端共享目录，/mnt为本地挂载目录三、使用/etc/hosts.allow和/etc/hosts.deny 控制客户端的访问（参考）/etc/hosts.allow和/etc/hosts.deny这两个文件是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。

Linux1 NFS服务的安全问题Linux系统的NFS服务相当于Windows系统上的文件共享服务，也许有许多人认为这是一个不恰当的比喻，但是2者在安全问题上却有惊人的相似。

正如，Windows计算机上的安全问题大多来自共享资源一样，NFS服务的错误配置，也很容易令用户的系统被入侵者入侵。

.NFS建立在RPC（远程过程调用）机制上，同样地，基于RPC机制上的NT 系统的服务也不安全，针对Windows共享资源的攻击是当前Internet上最流行的攻击方式，而对NFS的攻击也是入侵者攻击Linux平台计算机的最常用手段。

1．NFS主配置文件/etc/exports在大多数Linux系统的缺省情况下，在编辑/etc/exports目录时，如果用户不指定共享目录的只读（ro）权限，那么该目录为可读写（rw）权限。

另外，NFS的访问控制文件很容易出现错误配置，很多情况下配置为可以被网上任何一台计算机访问，远程用户可以使用“showmount -e IP地址（主机名）”命令来查看NFS服务器是否有NFS的配置漏洞。

例如，用户使用“showmount -e 192.168.0.100”命令，来查看NFS服务器上的共享目录，可能出现如图3-59所示结果。

图3-59 查看共享目录这表明/nfs/IT、/nfs/share、/nfs/public和/home/public目录可以被任何一台计算机挂载（mount），甚至可能有写的权限；而/tmp目录则指定了主机访问限制，必须是IP地址为“192.168.0.20”的计算机才能够进行挂载（mount）。

入侵者大多都会先用这个命令来查询目标计算机上的NFS漏洞，且现在流行的入侵方式已经从以前的对确定目标的攻击方式转变为不管对方是谁，只要有机可乘就入侵的方式。

入侵者可能会写一个脚本或者一个程序，用来对一大段IP地址进行扫描，并能够列出扫描结果以及报告给自己。

所以，正确的配置是非常重要的。