简易 NFS 服务器机设定


1. 学习本章的必备技巧

2. NFS 的由来与其功能

  什么是 NFS ( Network FileSystem )

  什么是 RPC ( Remote Procedure Call )

  NFS 激活的 RPC daemons

3. 需要的套件

4. Server 端的设定

5. Client 端的设定

6. RPC server 的相关指令

7. 关机或结束时的注意事项

8. 安全设定(被防火墙挡掉了)

9. 实际演练

------------------------------------------------------------------------------------------------


学习本章的必备技巧:


  欢迎再次来到鸟哥的『碎碎念时间』!在这个章节中,我们需要使用 vi 来修改设定档,并且使用激活的 scripts 来激活我们的服务,除此之外,亦使用简单的 rpm 指令来安装数据。所以,要了解这个章节,你最起码需要知道底下这些知识:

· 认识 vi

· 认识 BASH Shell

· 认识服务

· 常用的网络指令

· 认识网络安全

· 简易防火墙架设

  无论如何,将前面关于 Linux 基础网络基础 的内容看完,会是很好的一件事情!


------------------------------------------------------------------------------------------------

NFS 的由来与其功能

· 什么是 NFS ( Network FileSystem )


  我们要先来了解一下,什么是 NFS 呢?不然讲了一堆也没有用,对吧! ^_^!所谓的 NFS 就是 Network FileSystem 的缩写,最早之前是由 Sun 这家公司所发展出来的。他最大的功能就是可以透过网络,让不同的机器、不同的操作系统、可以彼此分享个别的档案 ( share file ),所以,你也可以简单的将他看做是一个 file server 呢!这个 NFS Server 可以让你的 PC 来将网络远程的 NFS 主机分享的目录,挂载到本地端的机器当中,所以,在本地端的机器看起来,那个远程主机的目录就好象是自己的 partition 一般!使用上面相当的便利!



  就如同上面的图标一般,当我们的 NFS Server 设定好了之后,其它的 Client 端就可以直接在 Server 上面存取资料了!也就是说,其它的 Personal Computer 可以『挂载 NFS server 所提供的档案或目录』,而且挂载之后,这个目录看起来就像你的本地端的磁盘区块一般,只要权限对了,那么你可以使用 cp, cd, mv, rm... 等等磁盘或档案相关的指令!真是他X的方便吶!

  那么您或许会问啦:『咦!那么这个 NFS 是藉由什么样的协议来进行传输的呢?』虽然 NFS 有属于自己的协议与使用的 port number ,但是在资料传送或者其它相关讯息传递的时候, NFS 使用的则是一个称为远程过程调用( Remote Procedure Call, RPC )的协议来协助 NFS 本身的运作!

· 什么是 RPC ( Remote Procedure Call )

  那么什么是 RPC 呢?由字面上的意思来看『远程过程调用』不就是一些程序( Program )在执行远程联机时,需要用到的程序吗?呵呵!是这样没错啦!简单的来说,当我们在使用某些服务来进行远程联机的时候,有些信息,例如主机的 IP、服务的 port number、与对应到的服务之 PID 等等,都需要管理与对应!这些管理 port 的对应与服务相关性的工作,就是这个 Remote Procedure Call, RPC 的任务了!

  好了,如果我们将 NFS 与 RPC 两者的相关性连接起来的话,那么你应该就可以知道: NFS 本身的服务并没有提供资料传递的协议,但是 NFS 却能让我们进行档案的分享,这其中的原因,就是 NFS 使用到一些其它相关的传输协议!而这些传输的协议,就是使用到这个所谓的 RPC 的功能啰!这也就是说, NFS 本身就是使用 RPC 的一个 program 就是了!说的更白话一点, NFS 也可以视作是一个 RPC server 啦!同时要注意到的是,在某些状况中,不但跑 NFS 的 Server 需要激活 RPC 的服务,连带的,要挂载 NFS partition 的 Client 机器,也需要同步激活 RPC 才行!这样 Server 端与 Client 端才能藉由 RPC 的协议来进行 program port 的对应喔!

  OK!简单的说, NFS 也可以看做是 RPC server 的一种,因为他是使用这种协议的 program 呀! ^_^ !那么为什么 NFS 要使用 RPC 执行呢?这是因为 NFS 本身可以被看做是一个档案系统,那么一来的话,你的使用者联机常常变化,而且你的档案内容啦、分享的目录啦,还有其它档案相关的信息等等,也都会常常在变化,这个时候,使用类似这种可以对应 program number 与 port number 的 RPC 就相当的方便了!也就是说,NFS 主要在管理分享出来的目录,而至于资料的传递,就直接将他丢给 RPC 的协议来运作就是了!
更多关于 NFS 协议的信息您可以参考底下的网页:

o http://www.faqs.org/rfcs/rfc1094.html

o http://www.tldp.org/HOWTO/NFS-HOWTO/index.html

· NFS 激活的 RPC daemons

  NFS server 总共需要启用到至少两个 daemons ,一个管理 Client 是否可以登入的问题,另一个管理登入主机后的 Client 能够使用的档案权限!说明如下:

o rpc.nfsd:这个 daemon 主要的功能就是在管理 Client 是否能够登入主机的权限啦,其中还包含这个登入者的 ID 的判别喔!

o rpc.mountd:这个 daemon 主要的功能,则是在管理 NFS 的档案系统哩!当 Client 端顺利的通过 rpc.nfsd 而登入主机之后,在他可以使用 NFS server 提供的档案之前,还会经过档案使用权限 ( 就是那个 -rwxrwxrwx 与 owner, group 那几个权限啦 ) 的认证程序!他会去读 NFS 的设定档 /etc/exports 来比对 Client 的权限,当通过这一关之后, Client 就可以取得使用 NFS 档案的权限啦!(注:这个也是我们用来管理 NFS 分享之目录的使用权限与安全设定的地方哩!)


-----------------------------------------------------------------------------------------------

需要的套件

  要激活 NFS 我们必须要有两个套件才行,分别是:

o nfs-utils

o portmap

· portmap:

  就如同刚刚提的到,我们的 NFS 其实可以被视为一个 RPC server program,而要激活任何一个 RPC server program 之前,我们都需要做好 port 的对应 ( mapping ) 的工作才行,这个工作其实就是『 portmap 』这个服务所负责的!也就是说,在激活任何一个 RPC server 之前,我们都需要激活 portmap 才行呢!那么这个 portmap 到底在干嘛呢?就如同这个服务的名称,哈哈!就是作 port 的 mapping 啊!举个例子来说:当 Client 端尝试来使用 RPC server 所提供的服务时,由于 Client 需要取得一个可以连接的 port 才能够使用 RPC server 所提供的服务,因此, Client 首先就会去跟 portmap 讲『喂!可不可以通知一下,给我个 port number ,好让我可以跟 RPC 联络吧!』这个时候 portmap 就自动的将自己管理的 port mapping 告知 Client ,好让他可以连接上来 server 呢!所以啰:『激活 NFS 之前,请先激活 portmap !』

· nfs-utils:

  就是提供 rpc.nfsd 及 rpc.mountd 这两个 NFS daemons 与其它相关 documents 与说明文件、执行档等的套件!这个就是 NFS 的主要套件啦!一定要有喔!

  好了,知道我们需要这两个套件之后,现在干嘛?!赶快去你的系统先用 RPM 看一下有没有这两个套件啦!没有的话赶快用 RPM 去安装喔!不然就完不下去了!


-----------------------------------------------------------------------------------------------

Server 端的设定:

  前面对于 NFS 稍微解释了一下,哇!怎么看起来好象粉难喔!其实一点也不!为什么呢?因为 portmap 只要一支 scripts 就可以激活, NFS 只要设定一个档案就可以顺利运作!那么怎么能说不简单呢!呵呵!这个 NFS 真是他 X 的太太太.....简单了~在开始 NFS 之前,让我们先以 Windows 的系统当中的『资源共享』来说明一下整个流程吧:

1. 在 Windows Server 上面,开启档案总管,在某个目录上面按右键选择激活资源共享;

2. 在资源共享的内容当中,需要设定『使用者权限』( 以 Windows 2000 为例 );

3. 在 Client 端需要登入 Windows server 时,需要激活『网络上的芳邻』来寻找可用的网络上面分享的目录,然后点选该目录,若可以登入该 Windows server 时,则可以依据步骤一的权限使用该目录下的档案!
呵呵!没错! NFS 的整个流程也差不多是这样:

· 首先,需要确认一下你的 Linux 主机是否可以支持 NFS 这项服务,然后再设定一下使用者的来源IP或主机名称以及分享出去的目录的权限,之后呢,激活 NFS 即可将刚刚设定的目录给他分享出去了!

· 那么在 Client 端怎么使用这个分享出来的目录?就是先以 showmount 检查 Linux Server 是否有可以使用的 NFS 目录,如果有的话,就将他 mount 在本机上面,如果可以 mount ,那么就可以使用 NFS 主机提供的资源了!

  哈哈!果然很简单吧!所以底下我们就来一个一个步骤的说明一下 NFS 怎么设定啰:

1. 系统需求

2. /etc/exports

3. 关于权限问题

4. 激活服务 portmap, nfsd

5. exportfs

6. 检验目录 /var/lib/nfs/xtab

7. showmount

8. 观察激活的 port number

  OK!每个咚咚的细部项目就来谈一谈吧:

o 系统需求:

  嗄!NFS 有最低硬件需求吗?呵呵!您误会了!这里的需求其实指的是『软件需求』啦!需要的是:

1. 除了刚刚我们已经提到的两个套件『 portmap 与 nfs-utils 』必需要存在之外;

2. 您的核心版本最好能够高于 2.2.xx 以后比较好!

3. 此外,如果重新编译过核心,你必需『一定要选择』NFS 支持才行!

  目前,如果你使用的是安装时候的 Linux distribution 预设核心时,那么你都不用太担心,因为系统已经预设有支持啰!所以底下的咚咚妳都可以玩!但是,如果你已经重新编译过核心,并且不知道你是怎么编译的 ( 例如道听途说啦、试试看新鲜玩意啦等等的来编译你的核心时,所以没有注意到这个项目的选择 ) ,这个时候请到底下的网页再看一看你的核心资料吧:『核心编译』!

o /etc/exports:


  好了,已经确认『一切OK』之后,我们就真的要来玩弄 NFS 啦!这个东西真的很简单的啦,只要一个档案就可以搞定了!那就是编辑 /etc/exports 这个档案,请注意,这个档案如果不存在,请自行建立!并且,档名不要写错了喔!这个档案的内容很简单啦,我们列出他的规则:



  上面的规则是这样的:欲分享的目录主要是要分享给主机名称1及主机名称2,但是提供给这两者的权限并不一样,其中,给主机名称1的权限是参数1与参数2,至于给主机名称2的 Client 权限则是参数3与参数4。好了,那么那个『权限』也就是『参数』主要有哪些呢?

rw:可擦写的权限;

ro:只读的权限;

no_root_squash:登入 NFS 主机使用分享目录的使用者,如果是 root 的话,那么对于这个分享的目录来说,他就具有 root 的权限!这个项目『极不安全』,不建议使用!

root_squash:在登入 NFS 主机使用分享之目录的使用者如果是 root 时,那么这个使用者的权限将被压缩成为匿名使用者,通常他的 UID 与 GID 都会变成 nobody 那个身份;

all_squash:不论登入 NFS 的使用者身份为何,他的身份都会被压缩成为匿名使用者,通常也就是 nobody 啦!

anonuid:前面关于 *_squash 提到的匿名使用者的 UID 设定值,通常为 nobody,但是你可以自行设定这个 UID 的值!当然,这个 UID 必需要存在于你的 /etc/passwd 当中!

anongid:同 anonuid ,但是变成 group ID 就是了!

sync:资料同步写入到内存与硬盘当中;

async:资料会先暂存于内存当中,而非直接写入硬盘!

  大致的参数就是这几样啰!那么我们来假设几个例子好了:

  思考一:我要将 /tmp 分享出去给大家使用,由于这个目录本来就是大家都可以读写的,因此我要让所有的人都可以存取。此外,我要让 root 写入的档案还是具有 root 的权限!那么你可以这么写喔!



  样一来,无论来自哪里(*万用字符!表示万事OK!)都可以使用我的 /tmp 这个目录。请注意,那个 *(rw,no_root_squash) 中间没有空格符喔!而 /tmp 与 *(rw,no_root_squash) 则是有空格符来隔开的!特别注意到那个 no_root_squash 的功能!
 
  思考二:我要将一个公共的目录 /home/public 公开出去,但是只有限定我的局域网络内 192.168.0.0/24 这个网域可以读写,其它人则只能读取:这



  请注意,在上面的例子中,倒数两行的格式都可以适用!所以只要写一行即可!上面的例子说的是,当我的 IP 是在 192.168.0.0/24 这个网段的时候,那么 /home/public 我就可以读写~至于如果我不是在这个网段之内,那么这个目录的资料我就仅能读取而已,亦即为只读的属性啦!
 
  思考三:我要将一个私人的目录 /home/test 开放给 192.168.0.100 这个 Client 端的机器来使用,那么我就必需这么写:



  这样就设定完成了!而且,只有 192.168.0.100 这部机器才能对 /home/test 这个目录进行存取喔!
 
  思考四:我要让 *.linux.org 网域的主机,登入我的 NFS 主机时,可以存取 /home/linux ,但是他们存资料的时候,我希望他们的 UID 与 GID 都变成 40 这个身份的使用者:



  特别注意到那个 all_squash 与 anonuid, anongid 的功能!如此一来,当 test.linux.org 登入这部 NFS 主机,并且在 /home/linux 写入档案时,该档案的所有人与所有群组,就会变成 /etc/passwd 里面对应的 UID 为 40 的那个身份的使用者了!

o 关于权限问题:


  无论任何时候,权限的问题都是需要考虑到的!让我们来看看刚刚建立的 /etc/exports 档案的内容:



  假设我在 192.168.0.100 登入这部 NFS ( IP 假设为 192.168.0.2 ) 主机,并且我在 192.168.0.100 的帐号为 test 这个身份,同时,在这部 NFS 上面也有 test 这个帐号,果真如此的话,那么:

1. 由于 192.168.0.2 这部 NFS 主机的 /tmp 权限为 -rwxrwxrwt ,所以我 ( test 在 192.168.0.100 上面 ) 在 /tmp 底下具有存取的权限,并且写入的档案所有人为 test ;

2. 在 /home/public 当中,由于我有读写的权限,所以如果在 /home/public 这个目录的权限对于 test 有开放写入的话,那么我就可以读写,并且我写入的档案所有人是 test 。但是万一 /home/public 对于 test 这个使用者并没有开放可以写入的权限时,那么我还是没有办法写入档案喔!这点请特别留意!

3. 在 /home/test 当中,我的权限与 /home/public 相同的状态!还需要 NFS 主机的 /home/test 对于 test 有开放权限;

4. 在 /home/linux 当中就比较麻烦!因为不论你是何种 user ,你的身份一定会被变成 UID=40 这个帐号!所以,这个目录就必需要针对 UID = 40 的那个帐号名称,修改他的权限才行!
 
  那么假如我在 192.168.0.100 的身份为 test2 ,但是 192.168.0.2 这部 NFS 主机却没有 test2 这个帐号时,情况会变成怎样呢?

1. 我在 /tmp 底下还是可以写入,但是写入的档案所有人变成 nobody 了;

2. 我在 /home/public 里面是否可以写入,还需要视 /home/public 的权限而定,不过,反正我的身份就被变成 nobody 了就是;

3. /home/test 的观点与 /home/public 相同!

4. /home/linux 底下,我的身份就被变成 UID = 40 那个使用者就是了!
 
  那么假如我在 192.168.0.100 的身份为 root 呢? root 这个帐号每个系统都会有呀!呵呵!权限变成怎样呢?
1. 我在 /tmp 里面可以写入,并且由于 no_root_squash 的参数,改变了预设的 root_squash 设定值,所以在 /tmp 写入的档案所有人为 root 喔!

2. 我在 /home/public 底下的身份还是被压缩成为 nobody 了!因为预设属性里面都具有 root_squash 呢!所以,如果 /home/public 有针对 nobody 开放写入权限时,那么我就可以写入,但是档案所有人变成 nobody 就是了!

3. /home/test 与 /home/public 相同;

4. /home/linux 的情况中,我 root 的身份也被压缩成为 UID = 40 的那个使用者了!
 
  这样的权限讲解之后,您可以了解了吗?这里是最重要的地方,如果这一关通过了,底下的咚咚就没有问题啦! ^_^

o 激活服务 portmap, nfsd

  好了,设定OK也没有权限的问题之后 ( 有问题也没关系,可以事后在好好的检视与修改一番!) ,再来自然就是激活他啰!如何激活呢?简单的很,直接给他OK下去!

  那个 portmap 根本就不需要设定!只要直接激活他就可以啦!激活之后,会出现一个 port 111 的 sunrpc 的服务!那就是 portmap 啦!至于 nfs 则会激活至少两个以上的 daemon 出现!然后就开始在监听 Client 端的需求啦!激活之后,请赶快到 /var/log/messages 里面看看有没有被正确的激活呢?



  要正常的出现上面的字样之后,才算是正确的激活喔!

o exportfs:


  好了,那么如果我们修改了 /etc/exports 这个档案之后,是否需要重新激活 nfs 呢?呵呵,并不需要,只要使用 exportfs 重新扫瞄一次 /etc/exports 这的档案,并且重新将设定加载即可!因此,就要来了解一下 exportfs 的用法了:



  要熟悉一下这个指令的用法喔!这样一来,就可以直接重新 export 我们的记录在 /etc/exports 的目录资料啰!

o 检验目录 /var/lib/nfs/xtab


  好了,当你顺利的将你的目录都分享出去之后,你怎么知道每个目录的分享权限呢?不要忘记了,因为我们有相当多的预设属性呢!因此,这个时候就得需要检验一下你所分享的目录内容啰!看一下 /var/lib/nfs/xtab 这个档案吧!他有点像这样:



  看到没?这个就是 /home/test 这个分享出去的目录的预设 NFS 里面的属性啦!这个属性状态里头有个比较奇怪的,那就是 anonuid=-2 这个,怎么有 uid=-2 的呢?呵呵!其实它说的是将 65536 - 2 的值,也就是 65534 的那个 UID 啦!对照一下 /etc/passwd ,你就会发现,哇!原来那就是 nobody 的啦!

o showmount:

  showmount 顾名思义,就是看看有没有可以 mount 的指令嘛!怎么用呢?



  很简单吧!所以,当你要扫瞄某一部主机他提供的 NFS 分享的目录时,就使用 showmount -e IP(或hostname)即可!非常的方便吧!

o 观察激活的 port number:


  OK!来看看我们激活 NFS 之后,到底激活了多少的 port 呢?要注意的是,我们有激活 portmap 与 nfs 两支 scripts 喔!



  注意看到上面喔!总共产生了好多的 port 喔!真是可怕!先注意到 nfs 自己所开启的 port ,就是那个 2049 的 port 啦!那个就是 NFS 主要产生的 port 啰。那么其它的 rpc.xxxx 的 port 又是从何而来? NFS server 在前面我们就提过了,他是 RPC server 的一种,而 NFS 由于提供了多个 program ( 例如 rpc.mountd, rpc.rquotad, rpc.nfsd... ) ,因此就需要激活多个 port 了!而且这些 port 是『随机产生的』,也就是那个 port number 不会是固定的啦!每次 restart nfs 都会得到不一样的 port number 呢!那么 Client 端怎么知道要连接上那个 port 来呼叫需要的 program 呢?呵呵!那就是 sunrpc ( port 111 ) 那个 portmap 服务所产生的 port number 的功用啦!Client 会先连接到 sunrpc 那个 port 去知道应该到那个 port 去呼叫所需要的程序!所以啰, rpc.xxxx 等之类的 daemon 自然就不需要有固定的 port number 啰!

  OK!这样一来, Server 端的设定就 OK 啦!


-----------------------------------------------------------------------------------------------

Client 端的设定:

挂载远程主机:


  好了, Server 端已经设定完毕,接着下来自然就是要使用 Client 端连接上 Server 端啰!那么连接上 Server 的步骤是怎样呢?

1. 扫瞄可以使用的 Server 目录;

2. 在 Client 本地端建立 mount point;

3. 使用 mount 将远程主机分享的目录挂载进来;

4. 可能发生的问题解决(被防火墙挡掉了!?)。

  OK啦!所以我们得先知道一下我们的主机里面有什么?假设我的主机名称是 test.linux.org ,那么我要知道里头有些什么藉由 NFS 分享出来的目录,就给他 showmount 一下啰!



  然后呢?假设我要将 /home/public 挂载在我的 /home/nfs/public 底下,那么我就得先有这个目录才行呀!然后再利用 mount 这个指令来挂载 /home/public 这个目录!有点像这样:



  先注意一下挂载 NFS 档案的格式范例喔!呵呵!这样就可以将资料挂载进来啦!请注意喔!以后,只要你进入你的目录 /home/nfs/public 就等于到了 test.linux.org 那部远程主机的 /home/public 那个目录中啰!很不错吧!那么如何将挂载的 NFS 目录卸载呢?就使用 umount 啊!



可能发生的问题:


通常无法挂载的原因有底下这几个:

1. 使用者的权限不符:

  以上面的例子来说明,我的 /home/test 只能提供 192.168.0.0/24 这个网域,所以,如果我在 test.linux.org 这部机器中,以 localhost 来挂载时,就会无法挂载上,这个权限概念没问题吧!那么你可以试试看:



  所以啰!如果你发现上面的显示的讯息时,就表示你的主机权限不能够进入该目录啰!如果确定你的 IP 没有错误,那么请回到 /etc/exports 这个档案中,针对你自己的 IP 来进行修正吧!
 
2. 忘记激活 portmap :

  这个最容易被忘记了!就是忘记了激活 portmap 这个服务啦!如果你发现你的 mount 的讯息是这样:



3.被防火墙挡掉了:

  这个也很容易忘记了!那就是重新设定一下你的防火墙,这包含了两部份,包括 iptables 与 TCP_Wrappers !因为我们激活了 portmap ,这个东西有两个资料需要分享出来,一个是 port 111 需要提供出去,因此你的 iptables 规则当中,需要开放这个 port 喔!有点像这样的几行字要加入你的 iptables rules 当中:



  或者是将 ALL 改成你所想要让他使用 NFS 的网域即可!这样说可以了解了吗?若想进一步了解一下防火墙,请参考:简易防火墙建置


------------------------------------------------------------------------------------------------

RPC server 的相关指令:

  好了,既然我们知道这个 NFS 其实使用的是 RPC 这个咚咚,所以当然要知道 RPC 的每个 port 在干什么呀!这个时候,就不能不知道 rpcinfo 这个指令了!先来谈一谈这个指令的用法吧!



  这样就可以知道每个 port number 所对应的 program 啰!您也就知道这个 RPC server 提供给你的 program 是什么了!当然了,要让这个 rpcinfo 可以正确的动作,你的 portmap 得真的动起来才行吶!加油啰!

------------------------------------------------------------------------------------------------

关机或结束时的注意事项:


  需要注意的是,由于 NFS 使用的这个 RPC 在 client 端连上主机时,那么你的主机想要关机,那可就会成为『不可能的任务』!我还不知道正确的原因是什么,但是,如果你的 Server 上面还有 Client 在联机,那么你要关机,可能得要等到数个钟头才能够正常的关机成功!嗄!真的假的!不相信吗?不然您自个儿试试看! ^_^!所以啰,建议您的 NFS Server 想要关机之前,能更先『关掉 portmap 与 nfs 』这两个东西!如果无法正确的将这两个 daemons 关掉,那么先以 netstat -utlp 找出 PID ,然后以 kill 将他关掉先!这样才有办法正常的关机成功喔!这个请特别特别的注意呢!


------------------------------------------------------------------------------------------------

安全设定(被防火墙挡掉了):


  好了!一些注意事项讲完了之后,再来呢?对了!又是最重要的安全设定方面的问题了!那么 NFS 可以设定安全的地方有哪里呢?其实还不少呢?由外而内可以这样看:

1. iptables 防火墙设定;

2. TCP_Wrappers 防火墙设定;

3. /etc/exports 权限设定。

  防火墙的基本概念请参考『简易防火墙建置』一文,最好能将该篇文章给他看完,否则还真难了解底下在干嘛~嗯!假设您已经看完该篇短文了,接着下来我们就得要一步一步的接着建立防火墙啰!

· 使用 iptables 限制大范围联机:

  假设我们的 NFS 主要是针对内部网络开放而已,而对于外部网络只有对学术网络开放,亦即是 140.0.0.0/8 ,那么你可以使用这样的语法:



  这样大致上就可以让 192.168.0.0/24 这个 C Class 的网域与 140.0.0.0/8 这个 A Class 的网域到你的主机里面来,而其它的联机就视您的原本的 iptables 的状态而定喔!
 
· 使用 TCP_Wrappers 限制更细的范围:


  事实上,如果你不懂得如何设定 iptables 的话,那也没关系,我们可以使用 TCP_Wrappers 阿!因为要使用 NFS 就必须要通过 portmap 这一关( 因为要使用 RPC 啦! ),而这个 portmap 可以藉由 TCP_Wrappers 来管理!呵呵!太好了!那么就将他联机的范围限制的更小啰!我们可以在 /etc/hosts.allow 里面规定连上 NFS 主机的主机 IP 与名称,假设限制中的主机只有 192.168.0.0/24 这个 C class 及 140.116.44.125 这个主机,以及后面接的是 ncku.edu.tw 的网域可以连上我的 NFS 主机,那么我可以写成这样:

  呵呵!这样可就设定好啰!很简单的吧!
 
· 使用 /etc/exports 设定更安全的权限:

  这就牵涉到您的逻辑思考了!怎么设定都没有关系,但是在『便利』与『安全』之间,要找到您的平衡点吶!善用 root_squash 及 all_squash 等功能,再利用 anonuid 等等的设定来规范登入您主机的使用者身份!应该还是有办法提供一个较为安全的 NFS 主机的!

· Client 端挂载的问题:


  基本上,在 Client 端挂载的时候,为了担心会不小心刚 NFS 端挂进来的具有 SUID 权限档案的程序执行!这个很可能会危害到系统的安全呢!因为 SUID 本来就不是很安全的嘛!所以呢,你这个 root 也可以将 NFS 所分享的目录以较为安全的情况挂载进来!例如:


  选择 nosuid 也是一个很不错的抉择喔!

  通常我们都会约略的建议,不要激活 NFS Server ,即使要激活,最好也是针对某个范围来进行目录的分享!并且,『要分使用者层级来管理』会比较好一些喔!底下我们就来实际的在您的机器上面搞一个简单的 NFS server 吧!


------------------------------------------------------------------------------------------------

实际演练:

假设环境:


1. 假设我的 Linux 主机为 192.168.0.100 这一部;

2. 预计将 /tmp 以可擦写,并且不限制使用者身份的方式分享给所有 192.168.0.0/24 这个网域中的所有 Linux 工作站;

3. 预计开放 /home/nfs 这个目录,使用的属性为只读,可提供除了网域内的工作站外,向外亦提供资料内容;

4. 预计开放 /home/upload 做为 192.168.0.0/24 这个网域的资料上传目录,其中,这个 /home/upload 的使用者及所属群组为 nfs-upload 这个名字,他的 UID 与 GID 均为 210;

5. 预计将 /home/andy 这个目录仅分享给 192.168.0.50 这部 Linux 主机,以提供该主机上面 andy 这个使用者来使用,也就是说, andy 在 192.168.0.50 及 192.168.0.100 均有帐号,且帐号均为 andy ,所以预计开放 /home/andy 给 andy 使用他的家目录啦!

实地演练:

好了,那么请你先不要看底下的答案,先自己动笔或者直接在自己的机器上面动手作作看,等到得到你要的答案之后,在看底下的说明吧!

· 首先,就是要建立 /etc/exports 这个档案的内容啰,你可以这样写吧!


   大概就是这样子吧!你可以自行测试看看!
 
· 再来,就是要建立每个对应的目录的实际 Linux 权限了!我们一个一个来看:



  这样子一来,权限的问题大概就可以解决啰!
 
· 激活 portmap 与 nfs 服务:




· 在 192.168.0.50 这部机器上面演练一下:



  整个步骤大致上就是这样吶!加油喔!

(来源:鸟哥私房菜)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值