本文介绍了NFS(Network File System)的工作原理,包括RPC的作用、NFS服务的各个daemon进程及其职责。详细阐述了NFS的权限处理,如root用户的映射以及如何通过配置解决安全问题。此外,还展示了NFS的安装、配置、挂载和卸载过程,并提到了autofs自动挂载的实现。通过实验展示了NFS的使用,强调了安全性设置如noexec、nosuid等选项的重要性。
NFS:Network File System
看名字毫无新意,而且还有权限的问题,真心想不明白怎么会有这种文件服务器,后稍稍了解了NIS后,结合NFS可做集群,我想NFS的用途就展现出来了。
先来了解RPC(Remote Procedure
Call)远程过程调用,它的作用就是别的程序运行时监听一个随机端口(小于1024)并向外界提供服务,但由于每次监听的端口都不一样,所以客户端无法得知每次的服务器端口号,这时就要用到RPC,程序在监听一个随意端口后向RPC进行注册,客户端先访问服务器的RPC(TCP/UDP
111)询问指定程序的端口号,并得到RPC的回应后,再去连接那端口。
也正因此,RPC必须先启动,然后才接受注册。
NFS服务会监听2049端口
而NFS还有其他的功能,每一个功能就是一个daemon进程且监听一个端口,这些端口就是随机选定的,并且向RPC注册。
NFS需要的deamon
rpc.nfsd
最主要的NFS服务
rpc.mountd
当用户登录了rpc.nfsd后,rpc.mountd会去读取/etc/exports来判断用户的权限
rpc.lockd
当多用户去写同一个文件时,就需要靠这个deamon来锁定。服务器端和客户端都需要开启这个deamon才行
rpc.statd
一般与rpc.lockd一起开启,用于检测文件损坏和修复,同样需要服务器端和客户端都开启才行。
NFS的权限问题:
当客户端去访问NFS的文件夹时,默认情况下,假如是root(即uid=0或gid=0),NFS服务器会把uid或gid转成65534(nfsnobody),而如果客户端使用非root的用户(即uid
!= 0 或 gid != 0),默认保留uid或gid。NFS一般是搭配着其他的服务器端使用,例如NIS。
实验:
安装NFS所需的组件
RPC主程序rpcbind,一般是已经装上的
NFS主程序nfs-utils
配置文件/etc/exports
/lab/nfsShare 192.168.5.134(rw)
192.168.5.0/24(ro)
只是一行样式,行首写文件夹路径,后面写主机的名字或者ip或者ip地址段,紧跟着是()里面写参数
像这一行就是允许192.168.199.134来读写该文件夹,其余的同网段访客则只读。当然了,实际能否读和写还要取决于文件系统的rwx、ACL这些限制。
/etc/exports只是比较简单的参数设置,要查看实际生效的参数,应该
[root@vmtest ~]# cat
/var/lib/nfs/etab
/lab/nfsShare 192.168.5.134(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid=65534)
/lab/nfsShare 192.168.5.0/24(ro,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid=65534)
/lvm/testnfs *(ro,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid=65534)
具体参数可查阅man
exports,需要注意的是,默认使用的v3版的nfs,如果要使用v4版,则用参数vers=4
关于anonuid和anongid,意思是当匿名访问时,所使用uid和gid,查看服务器上的passwd文件里的资料,得出默认65534代表的是nfsnobody这个用户
[root@vmtest ~]# grep 65534 /etc/passwd
nfsnobody:x:65534:65534:Anonymous NFS
User:/var/lib/nfs:/sbin/nologin
当修改完这个配置文件后,运行一下exportfs这个命令即可,具体参数有
-a 所有共享文件夹
-r 重新挂载
-u 卸载
-v 显示内容
常用的是avr
扫描某ip的共享NFS文件夹
[root@Client1_on_ESXi ~]# showmount -e 192.168.5.103
Export list for 192.168.5.103:
/lvm/testnfs *
/lab/nfsShare 192.168.5.0/24,192.168.5.134
服务器上查看当前客户端的挂载情况
[root@vmtest ~]# cat /var/lib/nfs/xtab
下面客户端挂载时再给出内容
NFS的共享会影响到服务器无法关机或重启,要么停止相应的rpcbind、nfs服务,要么在服务器上通过showmount -a
localhost查看现有的客户端挂载信息,然后告诉客户端那人去断开连接。。。
客户端的挂载,Client1的ip是192.168.5.134
[root@Client1_on_ESXi ~]# mkdir /mnt/nfs
<
[root@Client1_on_ESXi ~]# showmount -e 192.168.5.103
<
Export list for 192.168.5.103:
/lvm/testnfs *
/lab/nfsShare 192.168.5.0/24,192.168.5.134
[root@Client1_on_ESXi ~]# mount -t nfs
192.168.5.103:/lab/nfsShare /mnt/nfs
<
[root@Client1_on_ESXi ~]# ls /mnt/nfs
test.txt <
[root@Client1_on_ESXi ~]# vi /mnt/nfs/test.txt
this is a file from nfs shared
~
"/mnt/nfs/test.txt" [readonly] 1L, 31C
这里之所以为只读,是因为使用了root的uid 0来访问nfs,默认情况下,用uid
0的会自动变为匿名访问,即65534的uid
客户端的安全性设置
如果共享目录中有一个可执行文件,那么客户端在默认情况下也会认为是可以执行的,
[root@Client1_on_ESXi ~]# mount -t nfs
192.168.5.103:/lab/nfsShare /mnt/nfs
[root@Client1_on_ESXi ~]# ll /mnt/nfs
total 262148
-rw-r--r--. 1 nfsnobody
nfsnobody 0 Nov 2 22:48 testfromclient1.txt
-rwxrwxrwx. 1 nfsnobody
nfsnobody 0 Nov 3 20:41
test.sh-rw-r--r--. 1 nfsnobody
nfsnobody 31 Nov 2 10:27 test.txt
这就可能存在安全隐患了。所以较安全的设置是在挂载时加入选项参数
[root@Client1_on_ESXi ~]# mount -t nfs -o
noexec 192.168.5.103:/lab/nfsShare /mnt/nfs
[root@Client1_on_ESXi ~]# /mnt/nfs/test.sh
-bash: /mnt/nfs/test.sh: Permission denied
除了noexec外,还有nosuid,ro,nodev等可用来提高安全性
另外还有一些提高性能的特殊参数
fg/bg 默认是fg,客户端会持续尝试挂载,直到成功或超时。bg则在后台尝试mount但不影响系统整体运行。
soft/hard 有点类似fg/bg,默认是hard,建议用soft
intr 无默认值,如果使用hard时,再加入该参数,则可中断呼叫
rsize、wsize
读写区块大小,书上的说法是默认1024,但在实际测试中发现,是自动协商的,除非设得比实际可承载的容量还小,才会影响到性能。 最大可以设置1,048,576字节,即1M
客户端的autofs,自动挂载、卸载命令
为达到开机能用,并且有需要是才挂载,一段idle时间后自动卸载
配置文件/etc/auto.master
首先,为了能顺利做这个实验,先将客户端的文件夹删掉
[root@Client1_on_ESXi ~]# rmdir /mnt/nfs/
然后配置auto.master文件
[root@Client1_on_ESXi ~]# vi /etc/auto.master
结尾加入/mnt/nfs /etc/auto.nfs
注意现在/mnt/nfs是不存在的,也不能存在,当autofs运行时,会自动创建nfs,如果nfs已经存在的话,autofs运行则会有问题
运行autofs
[root@Client1_on_ESXi ~]# /etc/init.d/autofs start
Loading
autofs4: [ OK ]
Starting
automount: [ OK ]
查看下是否有自动创建目录
[root@Client1_on_ESXi ~]# ll /mnt
total 4
dr-xr-xr-x. 6 root root 4096 Jul 7 2012 cdrom
drwxr-xr-x. 2 root
root 0
Nov 3 23:13 nfs <
mount <
/dev/mapper/VolGroup-lv_root on / type ext4 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs
(rw,rootcontext="system_u:object_r:tmpfs_t:s0")
/dev/sda1 on /boot type ext4 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
/dev/sr0 on /mnt/cdrom type iso9660 (ro)
[root@Client1_on_ESXi ~]# ls /mnt/nfs <
但是!如果查看nfsShare的话,却显示出了内容,然后查看mount,会看到自动挂载了
[root@Client1_on_ESXi ~]# ls /mnt/nfs/nfsShare
testfromclient1.txt test.sh test.txt zerofile512M zerofilefromclient1
[root@Client1_on_ESXi ~]# mount
/dev/mapper/VolGroup-lv_root on / type ext4 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs
(rw,rootcontext="system_u:object_r:tmpfs_t:s0")
/dev/sda1 on /boot type ext4 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
/dev/sr0 on /mnt/cdrom type iso9660 (ro)
192.168.5.103:/lab/nfsShare on /mnt/nfs/nfsShare type nfs
(rw,vers=4,addr=192.168.5.103,clientaddr=192.168.5.134)
如果过一段时间不操作该目录,autofs会自动卸载掉该挂载。
3316
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
