NFS服务固定端口和安全加固——筑梦之路

已于 2023-10-17 11:26:16 修改
阅读量3.5k 收藏 3
点赞数 2
分类专栏: 缓存技术 linux系统运维 文章标签: NFS linux
于 2021-12-02 10:50:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/121672306
版权 
NFS服务固定端口设置,主要是为了开通防火墙策略,比如网闸
这里介绍常规的和非常规两种方式的配置

1.常规配置
vim /etc/sysconfig/nfs
RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

固定的端口为30001-30004

vim /etc/modprobe.d/lockd.conf
options lockd nlm_tcpport=30002
options lockd nlm_udpport=30002

服务重启生效:
systemctl restart nfs-config
systemctl restart nfs-idmap
systemctl restart nfs-lock
systemctl restart nfs-server

2.非常规,主要是指没有配置文件/etc/sysconfig/nfs
vim /etc/services
rquotad 30001/tcp
rquotad 30002/tcp
lockd 30002/tcp
lockd 30002/udp
mountd 30003/tcp
mountd 30003/udp
statd 30004/tcp
statd 30004/udp

其中mountd 和rquotad需要注释掉原来的文件中的端口

#检查验证
netstat -anlp | grep -E 'tcp|udp'

若还有没修改的端口则修改下面的文件
vim /etc/nfs.conf
[statd]
port = 30004

[lockd]
port = 30002

#重启服务
systemctl restart nfs-config
systemctl restart nfs-idmap
systemctl restart nfs-lock
systemctl restart nfs-server


此处主要做个记录
安全加固

思路:通过系统白名单和nfs配置来进行加固

1.修改nfs配置
cat /etc/exports

data 192.168.47.0/255.255.255.0(rw,sync,no_root_squash)

此处表示允许192.168.47.0/24这个网段访问,其他不允许访问

#重载配置
exportfs -avr

2.添加访问白名单和黑名单

cat /etc/hosts.allow

mountd:192.168.47.
rpcbind:192.168.47.:allow
portmap:192.168.47.
lockd:192.168.47.
rquotad:192.168.47.
statd:192.168.47.
#本机
portmap:127.0.0.1
lockd:127.0.0.1
rquotad:127.0.0.1
statd:127.0.0.1
mountd:127.0.0.1
rpcbind:127.0.0.1:allow


192.168.47. 表示此网段可访问

cat /etc/hosts.deny

mountd:ALL
rpcbind:ALL:deny
statd:ALL
portmap:ALL
lockd:ALL
rquotad:ALL


3.验证

192.168.47网段机器访问:

rpcinfo server-ip

showmount -e server-ip

192.168.10网段机器访问:
rpcinfo server-ip

showmount -e server-ip

此处获取不到nfs的信息,也不能挂载即成功加固

筑梦之路
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NFS服务以及静态路由及临时IP配置
不会编程的猫星人
11-05 403
NFS服务以及静态路由及临时IP配置
Linux网络——NFS共享服务
weixin_67300995的博客
04-24 2873
对于大多数负载均衡群集来说,使用NFS协议来共享数据存储是比较常见的做法,NFS也是NAS存储设备必然支持的一种协议。但是由于NFS没有用户认证机制,而且数据在网络上明文传输,所以安全性很差,一般只能在局域网中使用。3.客户端启动RPC(portmap服务),向服务端的RPC(portmap)服务请求服务端的NFS端口。如果客户端正在挂载中,服务端突然发生事故,nfs服务宕机了,客户端挂载目录会出现卡死现象,可使用命令。5.客户端通过获取的NFS端口来建立和服务端的NFS连接并进行数据的传输。
【日常运维】nfs 如何配置白名单,让某ip网络段客户可挂载使用
最新发布
zerotoall的博客
05-20 373
【日常运维】nfs 如何配置白名单,让某ip网络段客户可挂载使用 步骤 1: 安装 NFS 服务器 步骤 2: 编辑/etc/exports文件 步骤 3: 应用更改并重启 NFS 服务
分布式文件系统协议:NFS(Network File System)网络文件系统
par@ish的博客
01-19 2105
NFS允许不同计算机通过网络共享资源,特别是文件和目录,就像它们是本地存储的一部分一样。使用NFS的客户端可以挂载远程服务器上的文件系统,使得用户能够以透明的方式访问远程数据,实现跨多个系统的文件共享。
LinuxNFS粗略介绍及NFS服务、客户端配置模拟
weixin_42728126的博客
04-23 1404
NFS就是Network File System的缩写,它最大的功能就是可以通过网络,让不同的机器、不同的操作系统可以共享彼此的文件。
NFS占用的端口,配置固定端口
weixin_43135696的博客
06-30 2万+
一、NFS服务占用端口 由于nfs服务需要开启 mountd,nfs,nlockmgr,portmapper,rquotad这5个服务,将这5个服务端口加到iptables里面而nfs 和 portmapper两个服务固定端口的,nfs为2049,portmapper为111。其他的3个服务是用的随机端口。 mountd:它是RPC安装守护进程,主要功能是管理NFS的文件系统。当客户端顺利通过nfsd登录NFS服务器后,在使用NFS服务所提供的文件前,还必须通过文件使用权限的验证。它会读取NFS的配置.
nfs 端口_NFS服务
weixin_39608526的博客
12-03 698
NFS服务端概述:NFS,是Network File System的简写,即网络文件系统。网络文件系统是FreeBSD支持的文件系统中的一种,也被称为NFS. NFS允许一个系统在网络上与他人共享目录和文件。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件。​模式:C/S 模式端口:RHEL7是以NFSv4作为默认版本,NFSv4使用TCP协议(端口号是2049)和NFS服务器...
linux NFS 服务安全加固方法
01-10
不正确的配置和使用 NFS,会带来安全问题。 概述 NFS 的不安全性,主要体现于以下 4 个方面: 缺少访问控制机制 没有真正的用户验证机制,只针对 RPC/Mount 请求进行过程验证 较早版本的 NFS 可以使未授权用户获得...
06-银河麒麟高级服务器操作系统V10 SP3 2303安全加固手册
09-08
安全加固手册: 包含15大领域: 1 安全服务 2 密码强度 3 账户锁定 4 系统安全 5 系统审计 6 系统设置 7 磁盘检查 8 资源分配 9 系统维护 ......
NFS服务安全加固1
08-08
NFS服务安全加固1
Linux服务NFSNFS服务
01-20
 nfs(network file system)网络文件系统,改服务依赖于rpcbind服务。client通过rpc?问server端的rpc。nfs通过rpc来申请port号。rpc将分配的port号映射到portmap表中。然后将port号发送给client的rpc.  安装的包...
linux NFS设置防火墙的问题
chenjia66804610
07-21 1399
在设置了防火墙的环境中使用NFS,需要在防火墙上打开如下端口: 1. portmap 端口 111 udp/tcp; 2. nfsd 端口 2049 udp/tcp; 3. mountd 端口 "xxx" udp/tcp 系统 RPC服务nfs服务启动时默认会为 mountd动态选取一个随机端口(32768--65535)来进行通讯,我们可以通过编辑/etc/services 文件...
【网络安全】NFS服务安全加固
Karka_的博客
09-19 185
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完。
NFS 与 防火墙 端口 配置
业精于勤,荒于嬉;行成于思,毁于随。
08-05 2740
1、开启portmap和nfs服务 service portmap start service nfs start 2、将要共享的目录写到exports文件中 假设共享的目录为 /sharedisk/ vim /etc/exports 在exports文件中添加 /sharedisk192.168.0.0/24(rw,no_root_squ...
5.7 NFS,NTP 服务
Yuanshigou9的博客
12-18 1250
云计算运维_Linux_网络服务NFS、NTP服务
nfsv3_修复NFSv3服务器使用的端口
cuma2369的博客
07-28 907
nfsv3The ports used by NFS server can be dynamically assigned by rpbind to any higher number. We need to fix the ports used by NFS server to configure firewall or port forwarding mechanism. The ports ...
NFS挂载的时候需要开通那几个端口的访问权限。
热门推荐
fhqsse220的专栏
05-12 6万+
mount 10.12.13.11:/vol/lft_jjmk  /mnt 挂载不上,原因网络上有限制权限的配置,为了摸清楚挂载nfs需要开通哪些端口,这里做了如下尝试。 敲了命令后,处于等待状态 mount 10.12.13.11:/vol/lft_jjmk /mnt 同时开启另一个窗口。执行netstat -an [root@LFTt-test02 ~]#
NFS搭建及挂载
weixin_43862047的博客
09-19 4317
NFS是一种基于TCP/IP 传输的网络文件系统协议。通过使用NFS协议,客户机可以像访问本地目录一样访问远程服务器中的共享资源NAS存储: NFS服务的实现依赖于RPC (Remote Process Call,远端过程调用)机制,以完成远程到本地的映射过程。在Centos 7系统中,需要安装nfs-utils、 rpcbind 软件包来提供NFS共享服务,前者用于NFS共享发布和访问,后者用于RPC支持。手动加载NFS共享服务时,应该先启动rpcbind, 再启动nfsnfs端口:2049。
配置NFS固定端口
hhhzua的专栏
10-16 5635
NFS启动时会随机启动多个端口并向RPC注册,为了设置安全组以及iptables规则,需要设置NFS固定端口NFS服务需要开启 mountd,nfs,nlockmgr,portmapper,rquotad这5个服务,其中nfs、portmapper的端口固定的,另外三个服务端口是随机分配的,所以需要给mountd,nlockmgr,rquotad设置固定端口。 其中,给mountd、rq...
银河麒麟国产操作系统固定nfs端口安全加固
01-18
银河麒麟国产操作系统作为一款自主研发的操作系统,在固定NFS端口安全加固方面,拥有以下特点和措施。 首先,银河麒麟国产操作系统可以通过设置固定NFS端口进行数据传输和共享。通过固定NFS端口,可以方便用户在系统中进行文件的读取和写入,并保证了数据传输的效率和稳定性。此外,固定NFS端口还可以避免端口冲突和端口扫描带来的安全隐患,增加了系统的稳定性和安全性。 其次,银河麒麟国产操作系统在安全加固方面采取了一系列措施。首先,系统内置了安全性较高的防火墙和入侵检测系统,能够实时监测和阻止来自外部的攻击和入侵行为。其次,操作系统提供了安全策略配置和权限管理功能,用户可以根据需要设置不同的权限和策略,保护系统和用户数据的安全性。此外,银河麒麟国产操作系统还支持文件的加密和解密功能,可以对重要文件进行加密处理,防止数据泄露。最后,操作系统定期更新和发布安全补丁,及时修复已知漏洞,确保系统的安全性。 总之,银河麒麟国产操作系统通过固定NFS端口安全加固等措施,提供了稳定、安全的操作环境,满足用户对操作系统的需求。同时,银河麒麟国产操作系统也将不断进行技术创新和安全加强,以应对不断变化的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值