Служба NFS використовується для монтування файлових систем з віддалених комп'ютерів в локальні каталоги. При правильному управлінні доступом ведеться суворий контроль за всіма такими, що експортуються файловими системами, і тому ймовірність розкриття конфіденційна-ної інформації буде мінімальна. Але якщо параметри експортування обрані невірно, то комп'ютер буде відкритий для атак з будь-якої зовнішньої машини.
З точки зору безпеки, експортувати файлові системи за пре-дели власної організації дуже ризиковано. При правильній на-стройкеNFSпозволяет жорстко контролювати всі операції експорту файлових систем в межах локальної мережі, проте зовнішнє звернення кNFS, а також і до другімRPC-службам повинно бути заблоковано з по-міццю брандмауера.
Для зберігання переліку товарів, що експортуються файлових систем спочатку використовувався файл / etc / exports. Нижче наведено формат рядків цього файлу.
<каталог> <параметры>[<дополнительные параметры>]
Опції визначають зовнішній вигляд список комп'ютерів, яким дозволено монтування файлової системи, вказують права доступу до файлової системи (тільки читання або читання-запис) та можливість віддаленого користувача працювати з правами root по відношенню до файлової системи.
Найгірший варіант конфігурації файлу etc / exports може виглядати наступним чином.
Заходи протидії невірної конфігурації служби NFS
Щоб захистити власні файлові системи від несанкціонованого доступу ззовні, взаємодія зі службою NFS має бути заблоковано за допомогою брандмауера. Для цього потрібно заборонити звернення ззовні до порту 2049. По можливості краще взагалі не запускати службу NFS. Відключити її можна за допомогою редагування файлів /etc/rc#.d.
Якщо служба NFS повинна працювати постійно, то переконаєтеся, що експортуються тільки не-обхідні файлові системи. Наприклад, для монтування початкових каталогів видалені-ми користувачами експортуйте тільки каталог / home замість кореневого каталогу /. Про-вірте правильність конфігурації служби NFS, вивчивши файл / etc / exports, і ще раз переконатися-дітесь, що жодна файлову систему не експортується всім користувачам Internet з правами читання-запису.