NFS安全服务问题 - 王朝网络 -
分享&&&&&当前位置: &&&&&&&&NFS安全服务问题&&&　　Unix系统的NFS服务相当于MS系统上的文件共享服务.也许有人认为这是一个不恰当的比喻,但二者在安全问题上有惊人的类似,正如NT/Windows机器上的安全问题很多来自共享资源一样,NFS服务的错误配置,也可以让你的系统被入侵者接管.NFS建立在RPC(远程过程调用)机制上,同样地,基于RPC机制上的NT的服务也不安全; 针对MS共享资源的攻击是当前Internet上最流行的攻击NT方式,对NFS的攻击也是攻击UNix平台机器的最常用手段.　　NFS的不安全性主要体现于以下4个方面:　　(1)、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现　　(2)、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制　　(3)、较早的NFS可以使未授权用户获得有效的文件句柄　　(4)、在RPC远程调用中,一个SUID的程序就具有超级用户权限.　　我们分别从这几个方面加以论述:　　1、在大多数Unix系统的缺省的情况下,Export目录时,如果不指定只读,该目录为可写;NFS的访问控制文件很容易出现错误配置,很多情况下配置为可被网上任何一台机器访问,远程用户可以用这条命令来查到是否有NFS的配置漏洞,这个命令是几乎所有NFS攻击的必经步骤:　　# showmount -e 　　可能结果如下:　　/usr (everyone)　　/export/target1 -access=target2　　/export/target2 -access=target1　　可以把这个NFS server上的/usr目录mount成本地目录:　　# mount :/usr /tmp　　这表明,/usr目录可以被任何一台机器mount,甚至可能有写的权限;而/export/target1目录指定了主机访问限制,必须是 这个机器或者target2这个Netgroup的成员才能mount.入侵者大多都先用这个命令来查询目标上的NFS漏洞,正如对NT的Netview命令一样.值得提醒的是,现在流行的入侵方式已经从以前的对确定目标的攻击方式转为不管对方是谁,只要有机可乘就入侵的方式.入侵者可能会写一个脚本或者一个程序,用来对一大段地址进行扫描,列出结果报告给自己.所以,正确的配置是非常重要的.在Internet上,NFS设置错误的机器比比皆是.这个配置一般存放于/etc/exports文件或/etc/dfs/dfstab中.　　2、来自客户端的NFS请求的用户认证,由用户的UID和所属组的GID组成,这种文件访问的安全验证对于没有开NFS的系统当然是安全的;但是在网上,其它机器的root完全有权在自己的机器上设置? 一个UID,而NFS服务器不管这个UID是不是自己机器上的,只要UID符合,就赋予这个用户对这个文件的操作权.比如,目录/home/frank只能由UID为501的用户打开读写, 而这个目录可以被远程机器mount,那么,这台机器的root用户新增一个UID为501的用户,然后用这个用户登录并mount该目录,就可以获得相当于NFS server上的UID为501用户操作权限,从而读写/home/frank.要解决这个问题必须正确配置exports,限制客户的主机地址,明确设置rw=host 的选项,ro(只读)的选项和access=host的选项.　　另外,还有一种UID欺骗,是关于16位UID和32位UID的问题.大多NFS服务接受的来自客户对NFS请求所发送的UID标志都是16位的(Solaris是一个例外),这是不安全的.在这种情况下,如果用一个32位UID,并把这个UID最左边的位置设置为0,那么,体现在NFS server上,解释为　　16位的UID,这个UID就相当于任何用户引用32位UID并且这个UID最左边的数字是0,那么就可以读/写属于root的任何文件.要解决这个问题,可以从Sun的正式站点获取#1095935补丁.　　3、以前的文件句柄无须mount守护进程的帮助就可以构造,使客户直接可以和NFS通信.而现在的Unix系统大多进行了改进.但BSD系统还有问题.关于BSD文件句柄的问题涉及BSD OS 2.0,2.1,3.0;FreeBSD2.1.5-2.1.7,openBSD2.0和2.0以前.其它一些BSD也可能有类似的问题. 例如在4.4BSD中,与其它的UNix文件系统不同的是,一个文件的信息,除了创建时间、文件大小、连接个数和更新时间等信息外,还有一个st_gen信息,st_gen是一个4位的值,目的是使NFS文件句柄难于猜到.这个信息是stat(2)系统调用生成的.不幸的是,这个调用用到的一个函数vn_stat()有问题:　　...　　sb-&st_gen = vap-va_　　sb-st_blocks = vap-va_bytes / S_BLKSIZE;　　return (0); }　　上面这段程序码暴露了用来生成st_gen这个数的所有信息,利用这些信息,未授权用户可以得到文件的句柄.正确的程序应该只允许这些信息暴露给root:　　...　　sb-st_flags = vap-va_　　if (suser(p-p_ucred, &p-p_acflag)) {　　sb-st_gen = 0;　　} else {　　sb-st_gen = vap-va_　　}　　sb-st_blocks = vap-va_bytes / S_BLKSIZE;　　return (0);　　}　　这样,如果不是root,他只能得到0这个信息.　　4、最危险的错误是把含有SUID程序的目录export,并且该文件有执行权.SUID程序相当于超级用户本身.　　解决方案:　　(1)、和从NT中删除任何共享的解决方案一样,最好的解决方案是禁止NFS服务,或以AFS服务取而代之(Andrew File System).　　(2)、如果一定要开NFS,不要让一个单机可以既是client,也是　　(3)、export出的文件系统只设置为只读　　(4)、禁止那些有SUID特性的程序的执行　　(5)、不要export home 目录　　(6)、不要export可执行特性　　(7)、使用一些安全NFS实现方案(虽然未必真的很安全)&&&&&今日推荐
&&&&&日版宠物情人2017的插曲，很带节奏感，日语的，女生唱的。
最后听见是在第8集的时候女主手割伤了，然后男主用嘴帮她吸了一下，插曲就出来了。
歌手：Def...老钟家的两个儿子很特别，就是跟其他的人不太一样，魔一般的执着。兄弟俩都到了要结婚的年龄了，不管自家老爹怎么磨破嘴皮子，兄弟俩说不娶就不娶，老父母为兄弟两操碎了心...把牛仔裤磨出有线的破洞
1、具体工具就是磨脚石，下面垫一个硬物，然后用磨脚石一直磨一直磨，到把那块磨薄了，用手撕开就好了。出来的洞啊很自然的。需要猫须的话调几...先来看下敬业福和爱国福
今年春节，支付宝再次推出了“五福红包”活动，表示要“把欠大家的敬业福都还给大家”。
今天该活动正式启动，和去年一样，需要收集“五福”...有时候我们打开冰箱就会闻到一股异味，冰箱里的这种异味是因为一些物质发出的气味的混合体，闻起来让人恶心。 产生这些异味的主要原因有以下几点。
1、很多人有这种习...简介
《极品家丁》讲述了现代白领林晚荣无意回到古代金陵，并追随萧二小姐化名“林三”进入萧府，不料却阴差阳错上演了一出低级家丁拼搏上位的“林三升职记”。...你就是我最爱的宝宝 - 李溪芮
(电视剧《极品家丁》片尾曲)
作词：常馨内
作曲：常馨内
你的眉 又鬼马的挑
你的嘴 又坏坏的笑
上一秒吵闹 下...乌梅，又称春梅，中医认为，乌梅味酸，性温，无毒，具有安心、除热、下气、祛痰、止渴调中、杀虫的功效，治肢体痛、肺痨病。乌梅泡水喝能治伤寒烦热、止吐泻，与干姜一起制...什么是脂肪粒
在我们的脸上总会长一个个像脂肪的小颗粒，弄也弄不掉，而且颜色还是白白的。它既不是粉刺也不是其他的任何痘痘，它就是脂肪粒。
脂肪粒虽然也是由油脂...来源：中国青年报
新的攻击方法不断涌现，黑客几乎永远占据网络攻击的上风，我们不可能通过技术手段杜绝网络攻击。国家安全保障的主要方向是打击犯罪，而不是处置和惩罚...夫妻网络直播“造人”爆红
　　1月9日，温岭城北派出所接到南京警方的协查通告，他们近期打掉了一个涉黄直播APP平台。而根据掌握的线索，其中有一对涉案的夫妻主播...如何防止墙纸老化？
（1）选择透气性好的墙纸
市场上墙纸的材质分无纺布的、木纤维的、PVC的、玻璃纤维基材的、布面的等，相对而言，PVC材质的墙纸最不透气...观点一：破日本销售量的“鲜肌之谜” 非日本生产
近一段时间，淘宝上架了一款名为“鲜肌之谜的” 鲑鱼卵巢美容液，号称是最近日本的一款推出的全新护肤品，产品本身所...系腰裙(北宋词人 张先)
惜霜蟾照夜云天，朦胧影、画勾阑。人情纵似长情月，算一年年。又能得、几番圆。
欲寄西江题叶字，流不到、五亭前。东池始有荷新绿，尚小如...关于女人的经典语句1、【做一个独立的女人】
思想独立：有主见、有自己的人生观、价值观。有上进心,永远不放弃自己的理想，做一份自己喜爱的事业，拥有快乐和成就...你想体验机器人性爱吗？你想和性爱机器人结婚吗？如果你想，机器人有拒绝你的权利吗？
近日，第二届“国际人类-机器人性爱研讨会”大会在伦敦金史密斯大学落下帷幕。而...10.土耳其地下洞穴城市
变态指数：★★☆☆☆
这是土耳其卡帕多西亚的一个著名景点，传说是当年基督教徒们为了躲避战争而在此修建。里面曾住着20000人，......据英国《每日快报》报道，一位科学家兼理论家Robert Lanza博士宣称，世界上并不存在人类死亡，死亡的只是身体。他认为我们的意识借助我们体内的能量生存，而且...《我爱狐狸精》 - 刘馨棋
　　(电视剧《屏里狐》主题曲)
　　作词：金十三&李旦
　　作曲：刘嘉
　　狐狸精 狐狸仙
　　千年修...·&·&·&·&·&·&·&·&·&·&&&&&&　　Unix系统的NFS服务相当于MS系统上的文件共享服务.也许有人认为这是一个不恰当的比喻,但二者在安全问题上有惊人的类似,正如NT/Windows机器上的安全问题很多来自共享资源一样,NFS服务的错误配置,也可以让你的系统被入侵者接管.NFS建立在RPC(远程过程调用)机制上,同样地,基于RPC机制上的NT的服务也不安全; 针对MS共享资源的攻击是当前Internet上最流行的攻击NT方式,对NFS的攻击也是攻击UNix平台机器的最常用手段.
　　NFS的不安全性主要体现于以下4个方面:
　　(1)、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现
　　(2)、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制
　　(3)、较早的NFS可以使未授权用户获得有效的文件句柄
　　(4)、在RPC远程调用中,一个SUID的程序就具有超级用户权限.
　　我们分别从这几个方面加以论述:
　　1、在大多数Unix系统的缺省的情况下,Export目录时,如果不指定只读,该目录为可写;NFS的访问控制文件很容易出现错误配置,很多情况下配置为可被网上任何一台机器访问,远程用户可以用这条命令来查到是否有NFS的配置漏洞,这个命令是几乎所有NFS攻击的必经步骤:
　　# showmount -e
　　可能结果如下:
　　/usr (everyone)
　　/export/target1 -access=target2
　　/export/target2 -access=target1
　　可以把这个NFS server上的/usr目录mount成本地目录:
　　# mount :/usr /tmp
　　这表明,/usr目录可以被任何一台机器mount,甚至可能有写的权限;而/export/target1目录指定了主机访问限制,必须是 这个机器或者target2这个Netgroup的成员才能mount.入侵者大多都先用这个命令来查询目标上的NFS漏洞,正如对NT的Netview命令一样.值得提醒的是,现在流行的入侵方式已经从以前的对确定目标的攻击方式转为不管对方是谁,只要有机可乘就入侵的方式.入侵者可能会写一个脚本或者一个程序,用来对一大段地址进行扫描,列出结果报告给自己.所以,正确的配置是非常重要的.在Internet上,NFS设置错误的机器比比皆是.这个配置一般存放于/etc/exports文件或/etc/dfs/dfstab中.
　　2、来自客户端的NFS请求的用户认证,由用户的UID和所属组的GID组成,这种文件访问的安全验证对于没有开NFS的系统当然是安全的;但是在网上,其它机器的root完全有权在自己的机器上设置? 一个UID,而NFS服务器不管这个UID是不是自己机器上的,只要UID符合,就赋予这个用户对这个文件的操作权.比如,目录/home/frank只能由UID为501的用户打开读写, 而这个目录可以被远程机器mount,那么,这台机器的root用户新增一个UID为501的用户,然后用这个用户登录并mount该目录,就可以获得相当于NFS server上的UID为501用户操作权限,从而读写/home/frank.要解决这个问题必须正确配置exports,限制客户的主机地址,明确设置rw=host 的选项,ro(只读)的选项和access=host的选项.
　　另外,还有一种UID欺骗,是关于16位UID和32位UID的问题.大多NFS服务接受的来自客户对NFS请求所发送的UID标志都是16位的(Solaris是一个例外),这是不安全的.在这种情况下,如果用一个32位UID,并把这个UID最左边的位置设置为0,那么,体现在NFS server上,解释为
　　16位的UID,这个UID就相当于任何用户引用32位UID并且这个UID最左边的数字是0,那么就可以读/写属于root的任何文件.要解决这个问题,可以从Sun的正式站点获取#1095935补丁.
　　3、以前的文件句柄无须mount守护进程的帮助就可以构造,使客户直接可以和NFS通信.而现在的Unix系统大多进行了改进.但BSD系统还有问题.关于BSD文件句柄的问题涉及BSD OS 2.0,2.1,3.0;FreeBSD2.1.5-2.1.7,openBSD2.0和2.0以前.其它一些BSD也可能有类似的问题. 例如在4.4BSD中,与其它的UNix文件系统不同的是,一个文件的信息,除了创建时间、文件大小、连接个数和更新时间等信息外,还有一个st_gen信息,st_gen是一个4位的值,目的是使NFS文件句柄难于猜到.这个信息是stat(2)系统调用生成的.不幸的是,这个调用用到的一个函数vn_stat()有问题:
　　sb-&st_gen = vap-va_
　　sb-st_blocks = vap-va_bytes / S_BLKSIZE;
　　return (0); }
　　上面这段程序码暴露了用来生成st_gen这个数的所有信息,利用这些信息,未授权用户可以得到文件的句柄.正确的程序应该只允许这些信息暴露给root:
　　sb-st_flags = vap-va_
　　if (suser(p-p_ucred, &p-p_acflag)) {
　　sb-st_gen = 0;
　　} else {
　　sb-st_gen = vap-va_
　　sb-st_blocks = vap-va_bytes / S_BLKSIZE;
　　return (0);
　　这样,如果不是root,他只能得到0这个信息.
　　4、最危险的错误是把含有SUID程序的目录export,并且该文件有执行权.SUID程序相当于超级用户本身.
　　解决方案:
　　(1)、和从NT中删除任何共享的解决方案一样,最好的解决方案是禁止NFS服务,或以AFS服务取而代之(Andrew File System).
　　(2)、如果一定要开NFS,不要让一个单机可以既是client,也是
　　(3)、export出的文件系统只设置为只读
　　(4)、禁止那些有SUID特性的程序的执行
　　(5)、不要export home 目录
　　(6)、不要export可执行特性
　　(7)、使用一些安全NFS实现方案(虽然未必真的很安全)&&&&&　　免责声明：本文仅代表作者个人观点，与王朝网络无关。王朝网络登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述，其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。&&&&&&为你推荐&&&&&&转载本文&UBB代码&HTML代码复制到剪贴板...&更多内容··········&&&&&&&&&频道精选&&&王朝女性&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝分栏&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝编程&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝导购&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&王朝其他&&|&&|&&|&&|&&|&&|&&&&2005-&&版权所有&关于NFS目录挂载的问题_linux吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：169,600贴子：
关于NFS目录挂载的问题收藏
ubuntu14.04 和centos 7 ，centos7 下本机测试可以挂载NFS ，但ubuntu下挂载centos7下共享的NFS目录失败，提示出现mount.nfs: access denied by server while mounting:192.168.0.4
，挂载访问不允许！ 已经看了N种方法了，还是不能解决，包括/etc/expors文件中指定insecure参数还是不行，有知道怎么解决的吗？？？另外说明一下，在centos7下挂载ubuntu14.04 NFS目录时是可以的，就是在ubuntu14.04下挂载centos7的NFS目录不行！！！但是centos7 下showmoiunt -e 是没问题的啊！而且本地测试挂载NFS也是可以的！求救该怎么做？是版本不兼容还是centos7 下的/etc/nfsmount.conf 或是/etc/sysconfig/nfs配置文件不对？具体该怎么做？（配置文件也照网上说的改过/etc/sysconfig/nfs 配置文件RPCNFSDARGS=& “ 但是也没用啊？！
上海linux培训,网络工程与linux集群架构相结合,培养云移时代高级网络工程师!达内上海linux培训,红帽rhca认证+网络工程国际通行证,名企内部推荐就业!
export文件内容放出来selinux关掉试试
你是说在乌班图系统看不到centos的共享文件？描述清除下……
初次估计应该是你centos挂载的目录权限让乌班图无法访问，没有权限。你把分享的文件目录定在根目录试试，目录权限给个777
这个以前貌似有遇到过，是在6.5和7这个地方，不过后来解决的方法有点坑，是客户端也装上nfs,mount -t nfs ip:/share /des_share ，不过觉得问题应该不是这个，你看错误日志，是怎么讲的
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或linux NFS安装配置及常见问题、/etc/exports配置文件、showmount命令
投稿：mdxy-dxy
字体：[ ] 类型：转载 时间：
这篇文章主要介绍了linux NFS安装配置及常见问题,介绍的也比较详细特分享下，方便需要的朋友
1，服务器端软件：安装nfs-utils和portmap（rpcbind）
nfs-utils： 提供rpc.nfsd 及 rpc.mountd这两个NFS DAEMONS的套件
portmap: NFS其实可以被看作是一个RPC SERVER PROGRAM,而要启动一个RPC SERVER PROGRAM，都要做好PORT的对应工作，而且这样的任务就是由PORTMAP来完成的。通俗的说PortMap就是用来做PORT的mapping的。
NFS需要启动的DAEMONS：参考
pc.nfsd:主要复杂登陆权限检测等 必须
portmap：处理RPC程序客户端和服务器端的端口对应 必须
rpc.mountd：负责NFS的档案系统，当CLIENT端通过rpc.nfsd登陆SERVER后，对clinet存取server的文件进行一系列的管理 必须
lockd：处理通过RPC包的锁定请求
statd：为nfs锁定服务提供crash恢复功能
rquotad：处理当用户通过nfsmount到远程服务器时的配额
守护进程启动顺序：rpc.portmap, rpc.mountd, rpc.nfsd, rpc.statd, rpc.lockd (新版本会自动跟着nfsd启动起来), rpc.rquotad
NF服务器端命令：
•yum install nfs-utils portmap
•chkconfig rpcbind on #chkconfig：更新和查询各运行级别的系统服务
•chkconfig nfs on
•service rpcbind start
•service nfs start
2，服务器端配置文件/etc/exports：指定要共享的目录及权限 man exports
#：允许ip地址范围在192.168.0.*的计算机以读写的权限来访问/home/work 目录。
/home/work 192.168.0.*（rw,sync,root_squash）
/home& 192.168.1.105 (rw,sync)
/public& * (rw,sync)
配置文件每行分为两段：第一段为共享的目录，使用绝对路径，第二段为客户端地址及权限。
地址可以使用完整IP或网段，例如10.0.0.8或10.0.0.0/24，10.0.0.0/255.255.255.0当然也可以地址可以使用主机名，DNS解析的和本地/etc/hosts解析的都行，支持通配符，例如：*.
rw：read-write，可读写；&&& 注意，仅仅这里设置成读写客户端还是不能正常写入，还要正确地设置共享目录的权限，参考问题7
ro：read-only，只读；
sync：文件同时写入硬盘和内存；
async：文件暂存于内存，而不是直接写入内存；
no_root_squash：NFS客户端连接服务端时如果使用的是root的话，那么对服务端分享的目录来说，也拥有root权限。显然开启这项是不安全的。
root_squash：NFS客户端连接服务端时如果使用的是root的话，那么对服务端分享的目录来说，拥有匿名用户权限，通常他将使用nobody或nfsnobody身份；
all_squash：不论NFS客户端连接服务端时使用什么用户，对服务端分享的目录来说都是拥有匿名用户权限；
anonuid：匿名用户的UID值，通常是nobody或nfsnobody，可以在此处自行设定；
anongid：匿名用户的GID值。
NFS客户端用户映射：客户端登陆用户为root或者其他用户，然后根据服务器端nfs server配置，相应客户端连接映射到nfs服务器端的用户为root或者指定用户（通过anonuid或者anongid来设定）、nfsnobody等。最后这个映射用户和共享目录的权限共同影响该客户端连接是否有读写权限。
手动设定客户端、服务器端用户映射，参数：map_static=/etc/nfs.map
/etc/nfs.map文件映射内容如下：
# remote local
gid 500 1000
uid 500 2003
参考：中关于nfs客户连接用户身份的描述，没有验证过下述的描述：
•客户端连接时候，对普通用户的检查，NO.1如果明确设定了普通用户被压缩的身份，那么此时客户端用户的身份转换为指定用户，NO.2如果NFS server上面有同名用户，那么此时客户端登录账户的身份转换为NFS server上面的同名用户，NO.3如果没有明确指定，也没有同名用户，那么此时 用户身份被压缩成nfsnobody
•客户端连接的时候，对root的检查，NO.1如果设置no_root_squash，那么此时root用户的身份被压缩为NFS server上面的root，NO.2如果设置了all_squash、anonuid、anongid，此时root 身份被压缩为指定用户，NO.3如果没有明确指定，此时root用户被压缩为nfsnobody，NO.4如果同时指定no_root_squash与all_squash 用户将被压缩为 nfsnobody，如果设置了anonuid、anongid将被压缩到所指定的用户与组
3，防火墙设置修改
默认情况下，CentOS6服务器版安装完成后，防火墙iptables配置中只放开了22端口。
在nfs配置文件/etc/sysconfig/nfs中指定nfs服务相关端口，并修改防火墙放开相应端口
#Port rpc.mountd should listen on.&
#MOUNTD_PORT=892&
#Port rpc.statd should listen on.&
#STATD_PORT=662&
#/usr/sbin/rpc.rquotad Port rquotad should listen on.&
#RQUOTAD_PORT=875&
#TCP port rpc.lockd should listen on.&
#LOCKD_TCPPORT=32803&
#UDP port rpc.lockd should listen on.&
#LOCKD_UDPPORT=32769&&
修改iptables配置文件/etc/sysconfig/iptables，放开111（portmap服务端口），2049（nfs服务端口）
4，/etc/hosts.allow配置修改
/etc/hosts.allow，/etc/hosts.deny 描述哪些主机允许使用本地的INET服务。
默认这里好像可以不需要修改，不过最好设置成只允许需要的客户端机器连接，然后其他机器的连接都deny
#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
在/etc/hosts.allow中添加允许客户端访问的规则
ALL:127.0.0.1&&&&&&&& #允许本机访问本机所有服务进程
ALL:192.168.0.135&&&& #允许192.168.0.135客户端机器访问本机所有服务进程
smbd:192.168.0.0/255.255.255.0&&& #允许网段的IP访问smbd服务
sshd:192.168.100.0/255.255.255.0&&&&&&& #允许192.168.100.网段的IP访问服务器上的sshd进程
sshd:60.28.160.244&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& #允许外网的60.28.160.244访问这个服务器上的sshd进程
在/etc/hosts.deny中 被禁制登陆的尝试连接信息也可以设置成记录下来并发到用户邮箱
sshd:ALL&&& #禁止所有
5，修改共享出去的目录权限为760，并修改目录所有组为nfsnobody
参考：问题7
6，客户端挂载：执行下面的指令就可以把NFS服务器(IP地址为192.168.1.45)共享出来的/home挂装到本地的/mnt/nfs/home目录下。
showmount -e nfs-serverip： 查看nfs服务器共享出来的资源
mount -t nfs 192.168.1.45:/home /mnt/nfs/home
7，NFS性能测试：
•根据命令time dd if=/dev/zero of=/mnt/home bs=16k count=16384 来设置合理的WSIZE,RSIZE值
•根据nfs客户端数，在/etc/sysconfig/nfs配置文件中设置合适的nfs服务器端进程数RPCNFSDCOUNT，默认为8
exportfs命令：如果我们在启动了NFS之后又修改了/etc/exports，是不是还要重新启动nfs呢？这个时候我们就可以用exportfs命令来使改动立刻生效，该命令格式如下：
exportfs [-aruv] -a ：全部mount或者unmount /etc/exports中的内容 -r ：重新mount /etc/exports中分享出来的目录 -u ：umount 目录 -v ：在 export 的時候，将详细的信息输出到屏幕上。
showmount命令：显示NFS服务器的挂载信息。
showmount -e [nfs-server]：显示指定的NFS SERVER上export出来的目录，不指定后面IP时查看的是本机作为NFS Server时，对外共享的目录。。
rpcinfo -p命令：显示RPC信息& -p参数：用rpc协议来探测主机host上使用的rpcbind，并显示所有已注册的RPC程序。
nfsstat命令：查看NFS的运行状态，对于调整NFS的运行有很大帮助
过程中出现的问题解决：
1， 通过yum或者rpm安装完portmap后，发现执行命令service portmap start时报如下错误：portmap: unrecognized service。
CentOS6（Linux Kernel 2.6.32）中，portmap已经被rpcbind代替了，仔细查看安装信息就会发现，执行命令yum install portmap时安装的就是rpcbind。安装完成后也可以通过命令：yum whatprovides portmap来查看详细信息。
2， 客户端挂载时，报错误mount clntudp_create: RPC: Port mapper failure - RPC: Unable to receive。
•1，通过命令rpcinfo -p来查看portmap服务时候正常启动以及相应的端口(默认111)
•2，检查/etc/sysconfig/iptables防火墙设置，允许tcp，udp的111端口访问，然后service iptables restart
•3，检查/etc/hosts.deny，/etc/hosts.allow看客户端连接是否被阻止了
3， 客户端执行命令showmount -e nfs-server时，报错误：mount clntudp_create: RPC: Program not registered。
nfs、rpcbind服务没有启动，使用chkconfig把nfs、rpcbind加到系统服务中并用service来启动
或者在/etc/hosts.allow中添加允许客户端访问的规则 ALL:192.168.0.135
4， 客户端执行命令showmount -e nfs-server时，报错误：rpc mount export: RPC: U errno = No route to host
配置文件：/etc/sysconfig/nfs
找到nfs服务相关端口设置的地方，并移除注释后，在iptables防火墙设置中指定允许相应端口的Udp，tcp流通过。
#MOUNTD_PORT=892
#STATD_PORT=662
#LOCKD_TCPPORT=32803
#LOCKD_UDPPORT=32769
iptables -A INPUT -p TCP --dport 662 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP --dport 661 -m state --state NEW -j ACCEPT
5, showmount -e nfs-server成功，正式挂载时报错：mount: mount to NFS server '192.168.1.5' failed: System Error: No route to host.这是由于nfs服务的默认端口2049被防火墙阻塞了，和上面类似修改iptables允许2049端口通过
6, showmount -e nfs-server成功，正式挂载时报错：mount: mount to NFS server '192.168.1.5' failed: timed out (retrying).
编辑/etc/sysconfig/iptables时，相关端口的tcp端口允许通过，而udp不允许。其他可能的原因参考：.
Disable name lookup requests from NFS server to a DNS server.&
or& NFS version used by the NFS client is other than version 3.
7，exports配置文件中目录权限属性设置为rw(默认为root_squash)，但是在客户端mount目录执行touch命令时报错误：touch: cannot touch `a': Permission denied。解决：
•服务器端共享目录权限查看ll -d /home
•修改服务器端共享目录权限chown 760 /home(文件所有者root有全权限、文件所有组用户有读写权限、其他用户无权限，然后把目录的组设置为nfsnobody)
•修改服务器端共享目录权限组拥有者为nfsnobody(cat /etc/passwd | grep nob)
•chgrp nfsnobody /home
•成功在客户端创建新的文件！
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具