NFS服务安全加固

一、概述

NFS（Network File System）是FreeBSD支持的一种文件系统，它允许网络中的计算机之间通过TCP/IP网络共享资源。不正确的配置和使用NFS，会带来安全问题。

1. 弱访问控制：

   • 宽松的出口规则：如果在/etc/exports配置文件中定义的共享目录权限过于宽松，允许任意主机或范围广泛的IP地址访问，可能导致未授权用户轻易获取敏感数据。
   • 缺乏用户验证：早期版本的NFS缺乏真正的用户验证机制，仅依赖于客户端提供的用户ID（UID）和组ID（GID）。攻击者可能伪造身份，冒充合法用户访问共享资源。
   • 不当的root squash设置：no_root_squash选项可能导致远程客户端以root权限访问共享文件系统，增加了数据被恶意篡改或删除的风险。

2. 未加密的数据传输：

   • 默认情况下，NFS通信不进行加密。若未启用安全协议（如NFSv4的 Kerberos 或 NFSv3 的 IPsec），敏感数据在传输过程中容易被嗅探或中间人攻击。

3. 过时的NFS版本：

   • 使用老旧的NFS版本（如NFSv2或早期NFSv3）可能引入已知的安全漏洞。这些版本可能允许未授权用户获取有效的文件句柄，甚至通过SUID（Set User ID）程序获取超级用户权限。

4. 防火墙和网络访问控制不足：

   • 如果未对NFS服务器的防火墙设置适当的入站规则，限制仅允许特定可信客户端访问NFS服务，可能导致外部攻击者能够直接访问共享资源。
   • 缺乏网络访问控制列表（ACL）或安全组策略，可能导致对NFS服务的访问控制过于宽松，无法有效隔离和限制不同用户或组的访问权限。

5. 不安全的配置管理：

   • 配置文件（如/etc/exports）未受到恰当的访问控制，可能导致攻击者篡改共享设置，扩大其访问权限。
   • 更新或维护NFS配置时，未能及时审查和调整访问权限，可能导致过期或不必要的共享仍然开放。

6. 缺乏审计与监控：

   • 若未启用NFS日志记录和监控，无法追踪和检测异常访问行为，使得安全事件发生后难以进行事后调查和补救。

7. 软件漏洞利用：

   • NFS服务器软件或依赖组件可能存在未及时修补的安全漏洞，攻击者可能利用这些漏洞进行远程代码执行、权限提升或其他恶意活动。

为避免上述安全问题，应当遵循最佳实践，严格配置NFS服务器，包括：

• 使用最新且安全的NFS版本（如NFSv4）。
• 启用传输加密（如使用Kerberos身份验证、IPsec或TLS）。
• 精确定义访问控制列表（ACL），仅允许特定客户端或IP范围访问，并避免使用no_root_squash。
• 严格管理防火墙规则，限制对NFS服务的访问。
• 定期更新和审计NFS配置，确保其安全性。
• 启用日志记录和监控，以便及时发现并响应异常访问行为。
• 及时修补NFS服务器及相关软件的漏洞。

二、加固方案

为有效对以上安全隐患、推荐您使用下述加固方案。

2.1、配置共享目录（/etc/exports）

使用anonuid,anongid配置共享目录，这样可以使挂载到NFS服务器的客户机仅具有最小权限。不要使用no_root_squash

2.2、使用网络访问控制

使用安全组策略或iptable防火墙限制能够连接到NFS服务器的机器范围。

1. iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
2. iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
3. iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
4. iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

2.3、账号验证

使用Kerberos V5作为登录验证系统，要求所有访问人员使用账号登录，提高安全性。

2.4、设置NFSD的COPY数目

在 Linux 中，NFSD 的 COPY 数目定义在启动文件 /etc/rc.d/init.d/nfs 中，默认值为 8。

最佳的 COPY 数目一般取决于可能的客户机数目。您可以通过测试来找到 COPY 数目的近似最佳值，并手动设置该参数。

2.5、选择传输协议

对于不同的网络情况，有针对地选择 UDP 或 TCP 传输协议。传输协议可以自动选择，也可以手动设置。

1. mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR

UDP 协议传输速度快，非连接传输时便捷，但其传输稳定性不如 TCP，当网络不稳定或者黑客入侵时很容易使 NFS 性能大幅降低，甚至导致网络瘫痪。一般情况下，使用 TCP 的 NFS 比较稳定，使用 UDP 的 NFS 速度较快。

• 在机器较少，网络状况较好的情况下，使用 UDP 协议能带来较好的性能。
• 当机器较多，网络情况复杂时，推荐使用 TCP 协议（V2 只支持 UDP 协议）。
• 在局域网中使用 UDP 协议较好，因为局域网有比较稳定的网络保证，使用 UDP 可以带来更好的性能。
• 在广域网中推荐使用 TCP 协议，TCP 协议能让 NFS 在复杂的网络环境中保持最好的传输稳定性。

2.6、限制客户机数量

修改 /etc/hosts.allow 和 /etc /hosts.deny 来限制客户机数量。

1. /etc/hosts.allow
2. portmap: 192.168.0.0/255.255.255.0 : allow
3. portmap: 140.116.44.125 : allow
4. /etc/hosts.deny
5. portmap: ALL : deny

2.7、更改默认的NFS端口

NFS默认使用的是111端口，使用port参数可以改变这个端口值。改变默认端口值能够在一定程度上增强安全性。

2.8、配置nosuid和noexec

SUID (Set User ID) 或 SGID (Set Group ID) 程序可以让普通用户以超过自己权限来执行。很多 SUID/SGID 可执行程序是必须的，但也可能被一些恶意的本地用户利用，获取本不应有的权限。

尽量减少所有者是 root，或是在 root 组中却拥有 SUID/SGID 属性的文件。您可以删除这样的文件或更改其属性，如：

• 使用 nosuid 选项禁止 set-UID 程序在 NFS 服务器上运行，可以在 /etc/exports 加入一行：

1. 1. /www www.abc.com(rw, root_squash, nosuid)

• 使用 noexec 禁止直接执行其中的二进制文件。