Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Sicherung von NFS

5.4. Sicherung von NFS

Das Network File System oder NFS ist ein RPC-Dienst, der Client-Maschinen Dateisysteme, die vom Netzwerk aus zug�ngig sind, bereitstellt. Weitere Informationen zur Funktion von NFS finden Sie im Kapitel Netzwerkdateisystem (NFS) im Red Hat Enterprise Linux Referenzhandbuch. Weitere Informationen zur Konfiguration von NFS finden Sie im Red Hat Enterprise Linux Handbuch zur System-Administration. In den folgenden Unterabschnitten wird ein grundlegendes Wissen �ber NFS vorausgesetzt.

WichtigWichtig
 

Die Version von NFS, die in Red Hat Enterprise Linux inkludiert ist, NFSv4, ben�tigt nicht mehr l�nger den portmap-Dienst, wie in Abschnitt 5.2 beschrieben. NFS-Verkehr benutzt nunmehr eher TCP in allen Versionen, als UDP und erfordert TCP unter Verwendung von NFSv4. NFSv4 beinhaltet nunmehr Kerberos Benutzer- und Gruppen-Authentifizierung als Teil des RPCSEC_GSS Kernel-Moduls. Informationen �ber portmap sind weiterhin beinhaltet, da Red Hat Enterprise Linux ebenso NFSv2 und NFSv3 unterst�tzt, welche portmap einsetzen.

5.4.1. Planen Sie das Netzwerk sorgf�ltig

Da nunmehr von NFSv4 s�mtliche Informationen verschl�sselt mittels Kerberos �ber das Netzwerk �bertragen werden k�nnen, ist es wichtig, dass dieser Dienst richtig konfiguriert wird, sollte sich dieser hinter einer Firewall oder auf einem segmentierten Netzwerk befinden. NFSv2 und NFSv3 �bergeben Daten noch immer nicht sicher. Dabei besteht immer ein gewisser Grund zur Besorgnis. Hier kann ein sorgf�ltiges Design des Netzwerks schwerwiegende Sicherheitsbr�che verhindern.

5.4.2. Achtung vor Syntax-Fehlern

Der NFS-Server entscheidet �ber die Datei /etc/exports, welche Dateisysteme exportiert werden sollen und zu welchen Hosts diese Dateisysteme exportiert werden sollen. Achten Sie darauf, dass Sie keine Extra-Leerstellen beim Bearbeiten dieser Datei einf�gen.

Die folgende Zeile in der Datei /etc/exports legt fest, dass der Host bob.example.com Lese- und Schreibberechtigung auf das gemeinsame Verzeichnis /tmp/nfs/ erh�lt.

/tmp/nfs/     bob.example.com(rw)

Diese Zeile in der Datei /etc/exports beschreibt, dass der Host bob.example.com lediglich Leseberechtigung besitzt, allerdings jeder Lese- und Schreibberechtigung hat, wegen eines einzelnen Leerzeichens nach dem Hostnamen.

/tmp/nfs/     bob.example.com (rw)

Es ist sehr sinnvoll, jegliche konfigurierte NFS-Shares mit dem Befehl showmount zu pr�fen:

showmount -e <hostname>

5.4.3. Verwenden Sie nicht die Option no_root_squash

Standardm��ig �ndern NFS-Shares den Root-Benutzer in den Benutzer nfsnobody um, einem unprivilegierten Benutzer-Account. Auf diese Art geh�ren alle root-erstellten Dateien dem User nfsnobody, wodurch das Hochladen von Programmen mit der Setuid-Bit-Einstellung verhindert wird.

Wenn no_root_squash verwendet wird, k�nnen ausw�rtige Root-Benutzer jede Datei in dem gemeinsamen Dateisystem ver�ndern und dabei trojanisierte Anwendungen hinterlassen, die von anderen Benutzern unabsichtlich ausgef�hrt werden.

 
 
  Published under the terms of the GNU General Public License Design by Interspire