澳门新浦京娱乐场网站-www.146.net-新浦京娱乐场官网
做最好的网站

澳门新浦京娱乐场网站:NFS安装与配置,CentOS上

NFS是网络文件系统Network File System)的简称,是分布式计算系统的一个组成部分,可实现在异种网络上共享和装配远程文件系统。NFS由Sun公司开发,目前已经成为文件服务的一种标准RFC1904,RFC1813)。其最大的功能就是可让不同操作系统的计算机共享数据,所以也可以将它看做是一个文件服务器。NFS提供了除SAMBA之外,Windows与Linux、Unix与Linux之间通信的方法。

CentOS 6.7 安装配置nfs 服务

NFS是Network File System的缩写,即网络文件系统。它功能是通过网络让不同的机器、不同的操作系统能够彼此分享各自的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据。

NFS在文件传送或信息传送过程中依赖于RPC协议。RPC:远程过程调用(Remote Procedure Call)是能使客户端执行其他系统中程序的一种机制。NFS本身是没有提供信息传输的协议和功能的,但NFS却能让我们通过网络进行资料的分享,这是因为NFS使用了一些其它的传输协议。而这些传输协议用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC SERVER。所以只要用到NFS的地方都要启动RPC服务,不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关系:NFS是一个文件系统,而RPC是负责信息的传输。

所以,我们需要安装两个软件包:nfs-utils和rpcbind,在centOS 5中rpcbind叫portmap,作用都是一样的,名字不同而已。

安装方式:yum安装

nfs服务端:balichvm(192.168.171.51)

客户端:balichos(192.168.171.50)

安装步骤:

1)、在balichvm上安装nfs-utils和rpcbind,使用yum安装,如下:

[[email protected] ~]# yum install –y nfs-utilsrpcbind

2)、在balichvm建立需要分享的目录和编辑配置文件/etc/exports(这个文件默认没有)

[[email protected] ~]# mkdir –p /data/nfsdata

[[email protected] ~]#vim /etc/exports

/data/nfsdata/ 192.168.171.0/24 (rw,sync,root_squash)

这里的配置是共享目录/data/nfsdata/;网段192.168.171.0的主机可以有读写权限、限制root权限、同步到磁盘)

/etc/exports配置文件的格式和选项有:

格式:共享的目录共享给那些网段的主机共享的权限

选项:(共享的权限)

ro:——只读;

rw:——读写;

sync:——同步模式,内存中数据时时写入磁盘;

async:——不同步,把内存中数据定期写入磁盘中;

no_root_squash:——加上这个选项后,root用户就会对共享的目录拥有至高的权限控制,就像是对本机的目录操作一样。不安全,不建议使用;

root_squash:——和上面的选项对应,root用户对共享目录的权限不高,只有普通用户的权限,即限制了root;

all_squash:——不管使用NFS的用户是谁,他的身份都会被限定成为一个指定的普通用户身份;

anonuid/anongid:——要和root_squash以及all_squash一同使用,用于指定使用NFS的用户限定后的uid和gid,前提是本机的/etc/passwd中存在这个uid和gid。

3)、在balichvm配置防火墙规则,编辑/etc/sysconfig/nfs,固定服务的端口,默认是注释的,需要打开。

# Port rpc.mountd should listen on.

MOUNTD_PORT=892 #把前面的#号去掉

# Port rquotad should listen on.

RQUOTAD_PORT=875 #把前面的#号去掉

# TCP port rpc.lockd should listen on.

LOCKD_TCPPORT=32803 #把前面的#号去掉

# UDP port rpc.lockd should listen on.

LOCKD_UDPPORT=32769 #把前面的#号去掉

这些端口是配置文件默认的,是可以自行修改增加需要的端口号,然后保存配置文件。

然后启动rpdbind和nfs服务:

/etc/init.d/rpcbind restart

/etc/init.d/nfs restart

服务启动后,使用rpcinfo –p查看启用的端口。

[[email protected] ~]# rpcinfo -p

program vers proto port service

100000 4 tcp111 portmapper

100000 3 tcp111 portmapper

100000 2 tcp111 portmapper

100000 4 udp111 portmapper

100000 3 udp111 portmapper

100000 2 udp111 portmapper

100005 1 udp892 mountd

100005 1 tcp892 mountd

100005 2 udp892 mountd

100005 2 tcp892 mountd

100005 3 udp892 mountd

100005 3 tcp892 mountd

100003 2 tcp2049 nfs

100003 3 tcp2049 nfs

100003 4 tcp2049 nfs

100227 2tcp 2049 nfs_acl

100227 3 tcp2049 nfs_acl

100003 2 udp2049 nfs

100003 3 udp2049 nfs

100003 4 udp2049 nfs

100227 2 udp2049 nfs_acl

100227 3 udp2049 nfs_acl

100021 1 udp32769 nlockmgr

100021 3 udp32769 nlockmgr

100021 4 udp32769 nlockmgr

100021 1 tcp32803 nlockmgr

100021 3 tcp32803 nlockmgr

100021 4 tcp32803 nlockmgr

[[email protected] ~]#

将这些启用的端口(tcp和udp)写到iptables防火墙里面(vim /etc/sysconfig/iptables),允许通过,如下:

-A INPUT -m state --state NEW -m tcp -p tcp--dport 111 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 892 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 2049 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 32769 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp--dport 32803 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 111 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 892 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 2049 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 32769 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp--dport 32803 -j ACCEPT

然后重启iptables服务:/etc/init.d/iptables restart

4)、在客户端balichos上,安装nfs-utils,并且挂载balichvm共享的nfsdata目录,查看某台主机共享的nfs使用命令showmount–e ip(主机名)。

[[email protected] ~]# yum install –y nfs-utils

[[email protected] ~]# showmount -e192.168.171.51 ##查看共享的nfs

Export list for 192.168.171.51:

/data/nfsdata 192.168.171.0/24

[[email protected] ~]#

[[email protected] ~]# mount -t nfs192.168.171.51:/data/nfsdata/ /mnt/

[[email protected] ~]# df -h

Filesystem Size Used Avail Use% Mountedon

/dev/sda3 18G 5.9G 11G 36% /

tmpfs 495M 0 495M 0% /dev/shm

/dev/sda1 190M 36M 145M 20% /boot

192.168.171.51:/data/nfsdata/ 18G 3.8G 13G 24% /mnt

现在就已经挂载了一个文件系统,但是由于在balichvm上/data/nfsdata的权限是755,其他用户不具备写的权限,而在nfs配置文件/etc/exports上又限定了root用户权限,默认是使用其他的用户的登录,所有无法写入数据,只有读取的权限。

如果需要有写入的权限,可以修改权限。

6.7 安装配置nfs 服务 NFS是Network File System的缩写,即网络文件系统。它功能是通过网络让不同的机器、不同的操作系统能够彼此分享各...

NFS是古老的协议了,到了Linux不断更新和完善,从以前只支持UDP,现在支持TCP,现在到了V4版本。不过还是不安全,最大的毛病就是不需要身份认证,也只建议在内网用一下。
NFS一方是服务方,一方是客户端。
客户端使用需要启用portmap服务(service portmap start),不然不能接入,有很多文章说需要启用NFS相关的服务,其实作为客户端是不必的,portmap作为RPC接入服务就可以了。而到了CentOS6,portmap就没有了,而变成了rpcbind,默认是开启的,就不需要再麻烦处理了。
服务器端默认是安装了,但是没有启用。
无论是portmap还是rpcbind都在网络上监听UDP和TCP的111端口
NFS监听在UDP和TCP的2049端口,还有些动态的下面在细说。
它的共享目录配置文件在/etc/exports,服务配置文件在/etc/sysconfig/nfs

NFS网络文件系统协议最早是于1984年由 SUN 公司开发的,NFSv4 是最新的修订版本,2003年4月发布(RFC 3530)。由于 NFS 是一个开放的协议和标准,所以各个系统上的实现不同,所表现出来就是稳定性和性能差异,VPSee 的经验是 NFS 在 Solaris 上最稳定、功能最丰富;在 FreeBSD 上的性能最好,但是缺少一些功能,比如 FreeBSD 8.0 内核才增加了 NFS 文件锁的支持;NFS 在 Linux 上表现最一般了,所以我们至今仍有部分服务器低调地运行着古老的 Solaris 2.5 和 NFSv3,相比 NFSv3 来说 NFSv4 做了一些重大改进,比如:性能的提升、安全性的增强和 ACL,更容易与防火墙集成等。下面地操作在 CentOS 5.5 上完成。

NFS安装与配置

任何网络服务器都会有安全问题,NFS也不例外。由于设计方面的因素,NFS服务器不可能绝对安全。一般来说,不应该将NFS服务器运行在比较敏感的系统或者只有一般防火墙的机器上,应该尽量将其置于防火墙之后。配置安全的NFS服务器,可以从限制RCP服务的访问和控制文件系统的导出权限两方面着手。

共享目录
/var/tmp/share 172.26.1.0/24(rw,no_all_squash)
一般就是目录位置和许可IP地址范围加(),括号里规定了读写rw还是只读ro,
是规定了服务器和客户端里Linux用户的映射关系,no_all_squash是映射用户和组的关系,但不包括root,all_squash映射到匿名组以及匿名用户,就是所谓的nfsnobody,如果客户端没有安装NFS,那么它的所有者和组就是65534,其实nfsnobody就是65534,如果启用NFS服务就会建立起组,就会自动映射出组的名字,其实最本质的就是组的以及用户的数字号码,比如root用户就是0,root组也是0。root_squash是把root映射为匿名,no_root_squash是root映射为root,还有anonuid=xxx,anongid=xxx映射为指定的用户和组,xxx就是用户和组的数字号码。
其它一些参数基本上用不上。比如:sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;async:将数据先保存在内存缓冲区中,必要时才写入磁盘。

1.安装 NFS 服务器

1.         NFS安装

NFS服务器面临的安全隐患

服务配置文件
这个文件一般是不进行配置,默认就可以了。
但是当启用了防火墙iptable就不得不配置了。
通过抓包可以看到,nfs的连接过程不仅仅需要111和2049端口,还有些动态的端口,这些动态的端口在每次重启动nfs服务都会变化,iptable防火墙看可没有那么智能可以动态的打开端口,这时候就需要固化监听的端口了。
编辑/etc/sysconfig/nfs文件
RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
我没改端口号,就是把#去掉了。
重启服务
netstat -lpn | grep -v unix
tcp    0    0.0.0.0:892                0.0.0.0:*                  LISTEN      3959/rpc.mountd
tcp    0    0.0.0.0:875                0.0.0.0:*                  LISTEN      3954/rpc.rquotad
tcp    0    0 0.0.0.0:32803              0.0.0.0:*                  LISTEN      -
udp  0    0 0.0.0.0:32769              0.0.0.0:*                              -
然后当然是配置防火墙,把这些端口加上了。
澳门新浦京娱乐场网站:NFS安装与配置,CentOS上安装和配置NFS。cat /etc/sysconfig/iptables
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 32769 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 32803 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 892 -j ACCEPT
-A INPUT -p udp -m udp --dport 892 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 875 -j ACCEPT
-A INPUT -p udp -m udp --dport 875 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT

安装 NFS 服务器所需的软件包:

系统默认已经安装了NFS软件包,如果手工安装NFS,需要5个RPM包。

因为NFS在网络上明文传输所有信息,按照默认设置,NFS共享把根用户改成用户nfsnobody,它是一个不具备特权的用户账号。这样,所有根用户创建的文件都会被用户nfsnobody所有,从而防止了设置setuid的程序被上传到系统。如果使用了no_root_squash,远程用户就能够改变共享文件系统上的任何文件,把设置了特洛伊木马的程序留给其他用户,在无意中执行。

服务器端
查看状态命令
nfsstat
查看配置
exportfs
查看RPC情况
rpcinfo -p
查看目前已经连进本机的情况
showmount -a

# yum install nfs-utils nfs4-acl-tools portmap

setup-*:          共享NFS目录在/etc/exports中定义

NFS服务器安全策略

客户端
临时建立命令
mount 172.26.1.73:/var/tmp/share /home/shenxu/source
172.26.1.73服务器IP
/var/tmp/share服务器共享的目录
/home/shenxu/source映射到本地的目录
长期建立映射,编辑/etc/fstab,添加下面一行
172.26.1.73:/var/tmp/share /home/shenxu/source  nfs    defaults 0 0

和安装任何其他服务器软件一样,安装完 NFS 服务后就需要对 NFS 服务进行配置。输出服务器端的某个目录,以便 NFS 客户端能挂载和访问到这个目录:

 initscripts-*:       包括引导过程中装载网络目录的基本脚本

1)使用TCP_Wrappers

另外有些时候用showmount -a能看到根本没有的连接,是以前连接的痕迹,重启也还有。虽然没啥影响,但是我们追求完美,Linux基本上都是以文件形式存在的,那么这个重启以后还有,肯定是存在硬盘上的某个文件,它就是/var/lib/nfs/rmtab,清空需要清的项目就好。

# vi /etc/exports

 nfs-utils-*:       包括基本的NFS命令与监控程序

portmap和rpc.nfsd结合起来,使NFS服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全,在使用NFS时最好结合TCP_Wrappers来限制使用范围。

--------------------------------------分割线

Ubuntu 12.04安装NFS server http://www.linuxidc.com/Linux/2012-09/70728.htm

NFS服务器安装配置实现Ubuntu 12.04与ARM文件共享 http://www.linuxidc.com/Linux/2012-10/73159.htm

Ubuntu搭建nfs服务器 http://www.linuxidc.com/Linux/2012-10/71930.htm

文件服务器NFS配置详解 http://www.linuxidc.com/Linux/2013-06/86542.htm

Ubuntu下搭建NFS网络文件系统服务器 http://www.linuxidc.com/Linux/2013-07/87367.htm

澳门新浦京娱乐场网站:NFS安装与配置,CentOS上安装和配置NFS。Heartbeat_ldirector LB NFS实现HA及LB、文件共享 http://www.linuxidc.com/Linux/2013-06/85292.htm

CentOS 5.5配置NFS服务器教程 http://www.linuxidc.com/Linux/2013-03/81737.htm

Ubuntu 12.10下NFS的安装使用 http://www.linuxidc.com/Linux/2013-03/80478.htm

/home/iso 203.166.181.64(rw,sync,fsid=0) 211.152.40.171(rw,sync,fsid=0)

 portmap-*:       支持安全NFS RPC服务的连接

2)注意配置文件语法错误

--------------------------------------分割线

更多CentOS相关信息见CentOS 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=14

本文永久更新链接地址:http://www.linuxidc.com/Linux/2015-07/120562.htm

澳门新浦京娱乐场网站 1

203.166.181.64和211.152.40.171上面的用户可以挂载 NFS 服务器上的 /home/iso 目录到自己文件系统里;rw 在这里表示可读可写,sync 资料同步写入到内存与硬盘当中,no_root_squash登入 NFS 主机使用分享目录的使用者,如果是 root 的话,那么对于这个分享的目录来说,他就具有 root 的权限!这个项目『极不安全』,不建议使用!

 quota-*:       网络上共享的目录配额,包括rpc.rquotad (这个包不是必须的)

NFS服务器通过/etc/exports文件来决定要导出哪些文件系统,以及把这些目录导出到哪些主机上。编辑这个文件的时候要特别小心,不要添加额外的空格。

把 NFS 服务加入系统启动脚本并且手动启动 NFS 服务:

可以使用下面命令查看系统是否已经安装了某个软件包。

例如:/etc/exports文件的以下行会使主机bob.example.com 能够共享/tmp/nfs/目录。

# chkconfig nfs on

#rpm –qa |grep setup

/tmp/nfs/ bob.example.com(rw)

# chkconfig portmap on

2.         配置NFS

但是 /etc/exports 文件中这一行的情况却不同。它共享同一目录,让主机 bob.example.com 拥有只读权限,却给全局以读写权限。这全是由主机后面的一个空格造成的。

# /etc/init.d/portmap start

编辑/etc/exports,在文件中列出,要共享的目录。书写规则是:(每个共享规则一行)

/tmp/nfs/

# /etc/init.d/nfs start

共享目录 主机(参数)

bob.example.com (rw)

确认 NFSv4 服务器成功运行:

例如:

使用 showmount 命令来校验哪些目录被共享,从而检查NFS共享配置是一个好习惯。showmount格式为:

# rpcinfo -p

/mnt/disk1 10.167.27.207(ro,sync, no_root_squash)  *(ro)

showmount -e

program vers proto port

上面的规则代表将/mnt/disk1目录以读写同步方式共享给主机10.167.27.207。如果登陆到NFS主机的用户是root,那么该用户就具有NFS主机的root用户的权限。对于其他IP只允许都权限

3)使用iptables防火墙

100000 2 tcp 111 portmapper

下面是一些NFS共享的常用参数:

因为NFS在网络上明文传输所有信息,所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。无论何时在不安全的网络上传递NFS信息都有被截取的危险。从这个角度讲,谨慎制定网络计划就有助于防御重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙,除了TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用Linux 2.4或更高版本内核的今天,了解iptables这种防火墙方法也就足够了。 缺省的状态下,portmap使用111端口,而NFS使用2049端口,可以通过iptables来限制对该端口的访问:

100000 2 udp 111 portmapper

rw:             可读写的权限;

iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP
iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP
iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip --dport 2049 -j
ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport
2049 -j DROP

100003 2 udp 2049 nfs

 ro:             只读的权限;

4)把开放目录限制为只读权限

100003 3 udp 2049 nfs

 no_root_squash: 登入到NFS主机的用户如果是ROOT用户,他就拥有ROOT的权限root_squash:   在登入 NFS 主机使用目录的使用者如果是 root 时,那么这个使用者   的权限将被压缩成为匿名使用者,通常他的 UID 与 GID 都会变成 nobody 那个身份;

可以在/etc/exports文件中设定权限选项ro,通常需要把NFS服务器对客户开放的任何目录或文件系统设置为只读访问:

100003 4 udp 2049 nfs

 all_squash:     不管登陆NFS主机的用户是什么都会被重新设定为nobody。

/app devpc.nitec.com(ro) 这样,devpc.nitec.com网络中的客户只能对/app目录进行只读访问。

 anonuid:        将登入NFS主机的用户都设定成指定的user id,此ID必须存在于/etc/passwd中。

5)禁止对某些目录的访问

100005 3 tcp 750 mountd

 anongid:         同 anonuid ,但是变成 group ID 就是了!

当开放一个完整的文件系统或者一个目录时,缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项,例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录:

检查 NFS 服务器是否输出我们想共享的目录/home/iso

   sync:           资料同步写入存储器中。

/pub weblab-??.nitec.com (ro)
/pub/staff-only weblab-??.nitec.com (noaccess)

# exportfs

 async:          资料会先暂时存放在内存中,不会直接写入硬盘。

注意: “??”代表任意字符。

/home/iso 203.166.181.64

 insecure         允许从这台机器过来的非授权访问。

6)root squashing访问问题

/home/iso 211.152.40.171

3.         启动NFS

按照默认设置,root用户的用户ID和组群ID都是0。root权限压缩Root squashing)把用户ID0和组群ID0映射为匿名的用户和组群ID,因此客户上的根用户就不会在NFS服务器上具备根特权。如果这个选项被选,root用户就不会被映射为匿名用户,客户上的root用户就会对导出的目录拥有根特权。选择这个选项会大大降低系统的安全性。除非绝对必要,请不要选择它。为了明确执行该规则,可以修改文件/etc/exports:

注意 NFS 使用 portmap,而且新版本的 portmap 使用 hosts.deny 和 hosts.allow 文件来控制访问源,修改这2个配置文件以便 NFS 客户端能正常连接到服务器:

# service portmap start

/www www1.nitec.com(rw, root_squash)

# vi /etc/hosts.deny

# service nfs start

这样如果客户端的UID0root)用户想要访问读、写、删除)一个NFS文件系统,服务器端会用UID代替服务器的nobody账户。这样客户端的root用户不能修改和访问服务器端root用户才能访问和修改的文件。

portmap:ALL:deny

检查NFS的运行级别:

7)使用nosuid和noexec选项

# vi /etc/hosts.allow

# chkconfig --list portmap

SUIDSet User ID)或SGIDSet Group ID)程序可以让普通用户以超过自己权限的形式执行。很多SUID/SGID可执行程序是必须的,比如上面提到的passwd。SUID/SGID程序会被一些恶意的本地用户利用,获取本不应有的权限。运行以下命令可以找到所有具有这一属性的程序:

portmap:127.0.0.1:allow

 # chkconfig --list nfs

#find / ( -perm -4000 -o -perm -2000 )

portmap:203.166.181.64:allow

根据需要设置在相应的运行级别自动启动NFS:

使用者必须查看这一列表,尽量减少那些所有者是root或是在root组中却拥有SUID/SGID属性的文件,删除或对其属性进行更改。使用nosuid选项禁止set-UID程序在 NFS服务器上运行,可以修改文件/etc/exports加入一行:

portmap:211.152.40.171:allow

# chkconfig --level 235 portmap on

/www www1.nitec.com(rw, root_squash, nosuid)

2.配置NFS服务器的防火墙

 # chkconfig --level 235 nfs on

上面的例子说明:/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是不能运行set- UID程序。

NFS 用到的服务有 portmapper,nfs,rquotad,nlockmgr,mountd

另外,还需要查看系统的iptables、/etc/hosts.allow、/etc/hosts.deny是否设置了正确的NFS访问规则。

/www www1.nitec.com(rw, root_squash, noexec)

通过命令rpcinfo -p可查看nfs使用的端口:

  查看端口: # netstat -lnp | grep 111

上面的例子说明/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是禁止所登录文件系统中文件的执行。

澳门新浦京娱乐场网站 2

             #netstat -lnp | grep 2049

NFS是非常重要的网络协议,许多企业通过NFS协议共享硬盘和其它设备。把能登录NFS目录设置为只读访问、提高portmap服务的安全性、squashing root访问、使用on set-UID 和non executable文件设置可以提高NFS服务器的安全。

其中 portmapper,nfs 服务端口是固定的分别是 111和2049;

 

File System)的简称,是分布式计算系统的一个组成部分,可实现在异种网络上共享和装配远程文件系统。NFS由Sun公司...

另外 rquotad,nlockmgr,mountd 服务端口是随机的。由于端口是随机的,这导致防火墙无法设置。

4.         客户端配置

这时需要配置/etc/sysconfig/nfs使 rquotad,nlockmgr,mountd 的端口固定。

客户端运行以下命令MOUNT NFS文件系统

找到以下几项,将前面的#号去掉。

#mount -t nfs 10.167.27.91:/opt /mnt/disk1

RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769MOUNTD_PORT=892

5.         命令的使用

service nfs restart

1)        exportfs命令的使用:

再次查看

如果我们在启动了NFS之后又修改了/etc/exports,是不是还要重新启动nfs呢?这个时候我们就可以用exportfs命令来使改动立刻生效,该命令格式如下:

澳门新浦京娱乐场网站 3

exportfs [-aruv]

设置使 rquotad,nlockmgr,mountd 的端口固定。

参数的意义如下:

vim /etc/services,在文件的最后一行添加:

-a :全部mount或者unmount /etc/exports中的内容

mountd 892/tcp

 -r :重新mount /etc/exports中分享出来的目录

mountd 892/udp

 -u :umount 目录

rquotad 875/tcp

 -v :在 export 的时候,将详细的信息输出到屏幕上。

rquotad 875/udp

具体例子:

nlockmgr 32803/tcp

[root @test root]# exportfs –rv   <==全部重新 export 一次!

nlockmgr 32769/udp

2)        Showmount命令的使用:

重启下nfs服务。service nfs restart
在防火墙中开放这5个端口
编辑iptables配置文件
vim /etc/sysconfig/iptables
添加如下行:-A INPUT -p tcp -m tcp –dport 111 -j ACCEPT-A INPUT -p tcp -m tcp –dport 875 -j ACCEPT-A INPUT -p tcp -m tcp –dport 2049 -j ACCEPT-A INPUT -p tcp -m tcp –dport 892 -j ACCEPT-A INPUT -p tcp -m tcp –dport 32803 -j ACCEPT-A INPUT -p udp -m udp –dport 111 -j ACCEPT-A INPUT -p udp -m udp –dport 875 -j ACCEPT-A INPUT -p udp -m udp –dport 2049 -j ACCEPT-A INPUT -p udp -m udp –dport 892 -j ACCEPT-A INPUT -p udp -m udp –dport 32769 -j ACCEPT保存退出并重启iptables
service iptables restart3.配置NFS客户端首先启动 portmap:# /etc/init.d/portmap start#chkconfig portmap on检查 NFS 服务器端是否有目录共享:#showmount -e 211.152.40.162Export list for 211.152.40.162:/home/iso 211.152.40.171,203.166.181.64使用 mount 挂载服务器端的目录 /home/iso 到客户端某个目录下:# mount 211.152.39.162:/home/iso /mnt在 /etc/fstab 中挂载 nfs 文件系统:# vi /etc/fstab211.152.39.162:/home/iso /mnt nfs rw,tcp,intr,nosuid# mount -a# chkconfig netfs on注意使用 NFS 的时候,客户端的用户 UID 和 GID 必须和服务器端的 UID 和 GID 完全符合,否则会造成权限错误。在小规模用户的情况下,我们可以偷懒通过在客户和服务器两端同时建立相同的用户和组来解决这个问题,但是在大规模用户情况下最好的办法是利用 NIS 或者 OpenLDAP 来统一管理用户,做到一次登录,到处访问。

# showmount [-ae] hostname

SUN 公司开发的,NFSv4 是最新的修订版本,2003年4月发布(RFC 3530)。由于 NFS 是一个开放的协议和标准...

澳门新浦京娱乐场网站,参数说明:

-a 在屏幕上显示目前主机与Client所连上来的使用目录状态 。

-e 显示hostname这部机器的/etc/exports里面的共享目录。

当要扫瞄某一主机所提供的NFS共享的目录时,就使用showmount -e IP(或主机名hostname)即可。

6.         检验目录/var/lib/nfs/xtab

检验所共享的目录内容,查看/var/lib/nfs/xtab这个文件:

# vi /var/lib/nfs/xtab

/home/cao   192.168.0.1(rw,sync,wdelay,hide,secure,root_squash,

no_all_squash,subtree_check,secure_locks, mapping=identity,anonuid=-2, anongid=-2)

这就是/home/cao这个共享出去的目录预设NFS里面的属性。

7.         安全性

portmap: 111

NFS: 2049

防止使用IP欺骗和RPC重定向技术通过lo回环进行攻击以及限定授权主机:

iptables -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP

iptables -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP

iptables -A INPUT -p udp -s .2 --dport 111 -j ACCEPT

iptables -A INPUT -p udp -s .2 --dport 2049 -j ACCEPT

本文由澳门新浦京娱乐场网站发布于服务器,转载请注明出处:澳门新浦京娱乐场网站:NFS安装与配置,CentOS上