【共享服务】nfs常见问题处理

已于 2022-06-01 13:53:23 修改
阅读量6.6k 收藏 28
点赞数 2
分类专栏: 存储相关 文章标签: 运维 linux
于 2022-06-01 13:52:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Micha_Lu/article/details/125082164
版权

一、nfs服务端防火墙策略配置

1、问题描述

启用nfs服务端防火墙之后,客户端无法进行showmount及挂载操作

  • 服务端开启防火墙
ufw allow 22
ufw enable
  • 客户端showmount失败
[root@node189 ~]# showmount -e 172.16.21.62
clnt_create: RPC: Port mapper failure - Timed out
2、原因分析

nfs服务端未开放相关服务组件访问端口

  • 查看服务端rpc状态信息,其中mountdnlockmgr 服务启动端口不固定(可通过重启rpcbindnfs-server服务前后对比打印信息)
root@node62:~# rpcinfo -p
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100005    1   udp  49828  mountd
    100005    1   tcp  48723  mountd
    100005    2   udp  39593  mountd
    100005    2   tcp  37875  mountd
    100005    3   udp  60110  mountd
    100005    3   tcp  45926  mountd
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100227    2   tcp   2049
    100227    3   tcp   2049
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100227    2   udp   2049
    100227    3   udp   2049
    100021    1   udp  55554  nlockmgr
    100021    3   udp  55554  nlockmgr
    100021    4   udp  55554  nlockmgr
    100021    1   tcp  43039  nlockmgr
    100021    3   tcp  43039  nlockmgr
    100021    4   tcp  43039  nlockmgr
  • 确认nfs相关服务组件及端口占用如下
服务名称端口名称协议名称备注
nfs2049tcp/udp端口固定
portmapper111tcp/udp端口固定
mountd20048tcp/udp端口不固定,需人为修改固定
nlockmgr42315tcp/udp端口不固定,需人为修改固定

注:status对应rpc-statd服务,服务端口暂未找到可固定方法
使用参考链接解决,未能生效,后续再行尝试,目前暂无影响

3、解决方法
3.1、更改相关服务为固定端口
  • 更改mountd 服务端口为20048
echo "mountd 20048/tcp" >> /etc/services
echo "mountd 20048/udp" >> /etc/services
  • 更改nlockmgr 服务端口为42315
echo "fs.nfs.nlm_udpport=42315" >> /etc/sysctl.conf
echo "fs.nfs.nlm_tcpport=42315" >> /etc/sysctl.conf
sysctl -p
3.2、nfs服务端防火墙开放相关服务固定端口

服务端防火墙开放20491112004842315 端口,此时客户端可正常访问挂载

ufw allow 2049/tcp
ufw allow 2049/udp
ufw allow 111/tcp
ufw allow 111/udp
ufw allow 20048/tcp
ufw allow 20048/udp
ufw allow 42315/tcp
ufw allow 42315/udp
  • 此时客户端可正常showmount及挂载访问
[root@node189 ~]# showmount -e 172.16.21.62
clnt_create: RPC: Port mapper failure - Timed out

[root@node189 ~]# showmount -e 172.16.21.62
Export list for 172.16.21.62:
/cephnfs/cephfs/nfsdir *
/cephnfs/cephfs        127.0.0
[root@node189 ~]# mount -t nfs 172.16.21.62:/cephnfs/cephfs/nfsdir /mnt

二、漏洞扫描工具检测nfs服务端存在漏洞,可以对nfs服务端进行showmount -e操作

1、问题描述:

客户使用漏洞扫描工具,检测到nfs服务端存在被攻击风险,相关信息如下

  • 详细描述: 可以对目标主机进行"showmount -e"操作,此操作将泄漏目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者可能直接访问到目标主机上的数据
  • 修补建议: 限制可以获取到NFS输出列表的IP和用户。
    除非绝对必要,请关闭NFS服务,MOUNTD
2、解决方法:

默认情况下,nfs服务端未做任何限制,任意主机都可以对nfs服务端进行"showmount -e"操作。
一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就禁止连入。
两个配置文件的关系为:/etc/hosts.allow 的设定优先于/etc/hosts.deny
service_name 必须与/etc/rc.d/init.d/* 里面的程序名称要相同

  • 1、修改/etc/hosts.allow配置文件,添加允许访问的服务及客户端IP地址
    注:当存在多个IP地址时可使用, 分割开,如mountd:172.16.21.111,172.16.21.245
 [root@node117 ~]# cat /etc/hosts.allow 
 mountd:172.16.21.111
 rpcbind:172.16.21.111:allow
  • 2、修改/etc/hosts.deny配置文件,默认不允许任何客户端访问mountd和rpcbind服务
[root@node117 ~]# cat /etc/hosts.deny
mountd:ALL
rpcbind:ALL:deny
  • 3、重启nfs服务
[root@node117 ~]# systemctl restart nfs

在白名单的客户端可以正常进行"showmount -e"操作,而不在白名单的客户端禁止访问

[root@node111 ~]# showmount -e 172.16.21.117
Export list for 172.16.21.117:
/cephnfs/cephfs/ftp 172.16.21.111
.
[root@node112 ~]# showmount -e 172.16.21.117
clnt_create: RPC: Port mapper failure - Authentication error

[root@node112 ~]# mount -t nfs -vvv 172.16.21.117:/cephnfs/cephfs/ftp /mnt
mount.nfs: timeout set for Mon Dec  6 16:09:21 2021
mount.nfs: trying text-based options 'vers=4.1,addr=172.16.21.112,clientaddr=172.16.21.46'
mount.nfs: mount(2): Protocol not supported
mount.nfs: trying text-based options 'vers=4.0,addr=172.16.21.112,clientaddr=172.16.21.46'
mount.nfs: mount(2): Protocol not supported
mount.nfs: trying text-based options 'addr=172.16.21.112'
mount.nfs: prog 100003, trying vers=3, prot=6
mount.nfs: portmap query failed: RPC: Authentication error
mount.nfs: access denied by server while mounting 172.16.21.112:/cephnfs/cephfs/ftp

三、客户端挂载nfs失败,提示"mount.nfs:access denied by server while mounting"

1、问题描述

客户端挂载nfs失败,提示"mount.nfs:access denied by server while mounting"

mount -t nfs x.x.x.x:/share /mnt
mount.nfs: access denied by server while mounting x.x.x.x:/share
2、原因分析

客户端挂载nfs失败是一个比较常见的问题,通常有很多原因会导致出现这样的结果
挂载的时候可以指定-vvvv参数查看更多具体错误信息

mount -t nfs -vvvv server.example.com:/share /mnt
3、解决方法

此处列举一些常见可能导致挂载失败的原因,以及对应解决方法

3.1、客户端nfs挂载协议与服务端不一致

  • 问题原因
    服务端只支持nfs v3协议连接,而客户端默认挂载通常使用nfs v4协议,协议不匹配导致挂载失败

  • 解决办法
    通常遇到这种问题,客户端挂载指定-o nfsvers=3即可

mount -t nfs -o nfsvers=3 x.x.x.x:/share /mnt
3.2、nfs无法提供锁服务
  • 问题原因
    问题错误打印信息如下,nfs默认使用远程锁(即local_lock=none),但是提供远程锁的rpc.statd服务未启动
mount.nfs:rpc.statd is not running but is required for remote locking.
mount.nfs:Either use '-o nolock' to keep locks local,or start statd.
  • 解决方法
    有以下两种解决方法:
    1、使用远程锁:启动服务端rpc.statd服务,使用这个服务提供远程锁
    2、使用本地锁:客户端挂载指定-o nolock,查看此时客户端挂载参数使用本地锁(local_lock=all)
mount -t nfs -o nolock x.x.x.x:/share /mnt
Luxf0
关注
专栏目录
NFS配置不当导致信息泄露
HxXh
03-08 6619
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。(来源百度)NFS服务的默认开放端口为2049/TCP,因此我们可以借助Nmap来针对性的进行探测。对存在NFS配置错误的主机进行扫描r...
nfs挂载问题clnt_create: RPC: Port mapper failure - Timed out解决
yuemancanyang的专栏
01-14 1万+
近期在使用nfs进行网络挂载时,一直挂载不成功,客户端可连通服务nfs所用所有端口,且防火墙已关闭,但是showmount -e 服务端ip,始终提示报错“clnt_create: RPC: Port mapper failure - Timed out”。 偶然看到另一方法解决此问题,共享供参考。 在客户端配置fstab挂载 vi /etc/fstab #客户端的fstab文件加上 172.24.19.166:/home/html /home/html nfs
解决目标主机showmount -e信息泄露(CVE-1999-0554)
最新发布
weixin_64157795的博客
09-30 505
目前,我有三台主机,分别为主机a,主机b和主机c,其中主机a为服务器,部署了nfs,只允许主机b使用,然而主机c可以通过showmount -e命令来浏览主机a的目录清单。在NFS服务器上的/etc/hosts.allow和/etc/hosts.deny文件添加以下内容即可解决该问题。#主机c也可以使用showmount -e命令查看nfs服务器上共享出来的目录信息。#主机a的nfs服务配置文件,其中10.28.7.210是主机b的IP地址。#主机b使用showmount -e命令可以查看到的信息
阿里云服务器 CentOS7 下安装和配置 NFS
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-15 1654
阿里云服务器 CentOS7 下安装和配置 NFS。 clnt_create: RPC: Port mapper failure - Timed out报错不影响mount挂载
烂泥:【解决】NFS服务器使用showmount –e命令报错
weixin_33801856的博客
09-15 2059
本文由秀依林枫提供友情赞助,首发于烂泥行天下。 今天在NFS服务器使用showmount –e查看NFS共享目录时,发现系统一直显示如下错误: clnt_create: RPC: Port mapper failure - Timed out 查询相关资料显示,很有可能是因为NFS服务器的hosts文件中的域名和NFS服务器的IP地址不对应造成的。 查看NFS服务器的hosts文件,如...
clnt_create: RPC: Port mapper failure - Authentication error(网络错误 - 122、网络错误 - 5)
狗剩儿的记忆博客
12-02 3077
错误描述: windows通过nfs挂载linux下的目录,第一次遇到"网络错误 - 122" 解决参考: https://support.oracle.com/knowledge/Oracle%20Linux%20and%20Virtualization/2110306_1.html 过程描述: 1、在/etc/hosts.allow 文件中追加"ALL: ALL"(注意冒号后有空格) 2、再次mount挂载出现"网络错误 - 5" 3、在/etc/hosts.deny 文件中注释行"#ALL:ALL"
mount nfs 传递给系统调用的数据区域太小;clnt_create:PRC:Port mapper failure-Authentication error
sqlora的专栏
12-02 1859
oracle一体机redhat7.7配置nfs服务器端showmount报错: 服务器本身可以mount成功。 但windows2008客户端mount失败,报错如下:传递给系统调用的数据区域太小 原因是服务器端的/etc/hosts.allow和/etc/host.deny做了限制,修改后重启nfs即可。 参考: ...
企业级NFS网络文件共享服务1
08-08
1.4 NFS服务常见进程详解 NFS服务端运行时涉及多个关键进程,如nfsd(处理客户端请求)、rpcbind(管理RPC端口映射)等,这些进程协同工作,确保NFS服务的稳定运行。 1.5 实战配置NFS服务端 配置NFS服务端的核心...
NFS共享硬盘.zip
07-19
Linux系统中,NFS(Network File System)是一种广泛用于在网络间共享文件系统的协议,尤其在Unix-like系统如Ubuntu中非常常见。NFS允许一台主机服务器)将它的目录结构暴露给其他网络上的主机(客户端),使...
NFS服务器故障排除与常见问题解决
NFS服务器是指提供NFS服务服务器端,负责管理文件共享和用户访问控制。 ## 1.2 NFS服务器的工作原理 NFS服务器通过RPC(Remote Procedure Call)机制,将文件系统的操作请求封装为网络消息进行传输,客户端可以...
NFS服务器搭建与配置
肆伍玖的博客
01-08 1737
NFS服务器简介 Linux和Windows之间可以通过Samba共享文件,Linux之间资源共享可以用到网络文件系统(Network File System , NFS) 它的核心功能就是可以通过网络,让不同的客户端,可以彼此访问共同的文件系统 ,来实现文件的共享NFS 服务器可以让客户端将网络远程的 NFS 服务器分享的目录,直接挂载到本地端的机器当中。本地端的机器通过直接读写挂载的目录,就可以同步 NFS的好处 1.本机使用更少的磁盘空间 2.home目录可以被放在NFS服务器上,并在网络中随
showmount命令 显示NFS服务器的加载信息
01-09
showmount命令查询“mount”守护进程,以显示NFS服务器的加载信息。 语法格式: showmount [参数] 常用参数: -d 仅显示已被NFS客户端加载的目录 -e 显示NFS服务器上所有的共享目录 参考实例 获取已经被客户端加载的NFS共享目录: [root@linuxcool ~]# showmount -d 61.163.231.197 获取NFS服务器的全部共享目录: [root@linuxcool ~]# showmount -e 61.163.231.197 与该功能相关的Linux命令:ip命令 – 显示与操作路由cu命令 – 连接另一个系统主
搭建FTP服务器实现文件共享NFS服务器配置:FTP服务器的基本原理与架构分析
搭建FTP服务器和配置NFS服务器可以为用户提供高效、稳定和安全的文件共享服务,满足各种文件传输和共享的需求。 ## 1.2 FTP服务器与NFS服务器在文件共享中的应用价值 FTP服务器和NFS服务器是广泛应用于文件共享...
clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host)
chensay的博客
12-24 1万+
解决:clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host) 实验环境:centos7。 实验目的:NFS 存储部署。 [root@oVirt-Engine ~]# showmount -e 192.168.10.132 clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to hos
错误集--NFS报错clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host)
qq_42327944的博客
03-24 6707
NFS报错clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host)
Linux共享服务的漏洞,Linux NFS共享目录配置漏洞
weixin_39874196的博客
05-03 661
目的:利用 NFS共享目录配置漏洞读取目标主机的/etc/passwd文件内容原理:NFS服务配置漏洞赋予了根目录远程可写权限,导致/root/.ssh/authorized_keys可被修改,实现远程ssh无密码登录。准备:Kali系统版本2.0主机IP:192.168.1.2 靶机IP:192.168.1.3实战:Step1:查看目标主机NFS服务是否开启:在终端输入rpcinfo -p...
关于NFS服务mount: RPC: Timed out问题
热门推荐
导弹头的专栏
07-14 2万+
        最近在做嵌入式方面的项目开发,用到虚拟机和开发板之间的文件传输,我们选用NFS,不过在使用过程中总是有这个那个的小毛病,主要还是不能mount的问题,今天把目前遇到的一些问题及NFS的基本配置做一下个人总结:一、NFS的概念      NFS (Network File System/网络文档系统):      1 、配置Linux 系统之间的文档共享Linux 和Windo
解决clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host) 问题的过程...
weixin_30270889的博客
08-28 1万+
问题起因: 在配置好一台NFS服务器,建立好分享目录,刷新配置以后,在另一台客户机中使用showmount -e 出现报错: clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host) 问题原因: 服务端的防火墙上默认没有开启nfs服务相应的端口 解决办...
clnt_create: RPC: Program not registered
08-23
这个错误通常是由于客户端尝试访问没有正确注册的RPC程序而引起的。RPC(远程过程调用)允许不同的计算机上的进程之间进行通信。当客户端尝试调用一个没有正确注册的RPC程序时,就会出现这个错误。 要解决这个问题,你需要确保RPC程序已在服务器上正确注册。你可以按照以下步骤进行操作: 1. 确保服务器上运行的程序已正确注册为RPC程序。你可以查看服务器上的日志文件或联系程序开发人员来确认此信息。 2. 如果程序尚未注册,请确保正确地安装了所需的软件包。某些RPC程序可能需要特定的软件包或库才能正确注册和运行。 3. 在客户端上检查防火墙设置,确保允许与服务器进行RPC通信的端口。 4. 确保客户端和服务器之间的网络连接正常。如果存在网络问题,可能导致客户端无法访问服务器上的RPC程序。 如果你仍然遇到问题,建议查阅相关文档或联系程序开发人员以获取进一步的支持和指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值