修改NFS配置
将 /etc/exports
文件中的那一行修改为更严格的配置,明确指定这些IP地址:
/data/data 192.168.112.21(rw,sync,all_squash) 192.168.112.22(rw,sync,all_squash) 192.168.112.23(rw,sync,all_squash) 192.168.112.24(rw,sync,all_squash)
这样,只有这四台特定的服务器才能访问 /data/data
目录。
应用更改
修改 /etc/exports
文件后,重新导出NFS共享使更改生效:
exportfs -rav
还应检查并相应调整防火墙设置,确保这些特定服务器的通信不会被阻塞。
这样配置后,你就具体限制了哪些客户端可以访问NFS共享,并增加了系统的安全性。
查看防火墙状态
首先,让我们确认防火墙的当前状态。在CentOS 8中,firewalld
是默认的防火墙管理工具。你可以使用以下命令来检查firewalld
的状态:
systemctl status firewalld
如果防火墙已关闭,你将看到inactive (dead)
状态。
启动防火墙
如果防火墙已经关闭,你可以使用以下命令启动firewalld
:
systemctl start firewalld
然后,使用systemctl enable firewalld
命令确保防火墙在系统启动时自动启动:
systemctl enable firewalld
配置防火墙以限制NFS访问
确保只有特定的四台服务器能够访问NFS服务。使用firewalld
,可以设置规则来允许这些特定的IP地址访问NFS端口(2049是NFS的默认端口,而端口111是RPC绑定端口,可能也需要被允许)。执行以下命令为每台服务器添加规则:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.112.21" port port=2049 protocol=tcp accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.112.22" port port=2049 protocol=tcp accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.112.23" port port=2049 protocol=tcp accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.112.24" port port=2049 protocol=tcp accept'
firewall-cmd --reload
验证配置
可以使用firewall-cmd --list-all
命令来验证防火墙规则是否正确应用,会显示所添加的规则。
通过以上步骤,将有效限制对NFS服务的访问,仅允许这四台特定的服务器进行访问,这有助于减轻showmount -e
可能导致的信息泄露风险。