Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - S�curisation de NFS

5.4. S�curisation de NFS

Le syst�me de fichiers r�seau (ou NFS, de l'anglais Network File System) est un service qui fournit des syst�mes de fichiers accessibles par r�seau � des ordinateurs clients. Pour davantage d'informations sur le fonctionnement de NFS, reportez-vous au chapitre intitul� Syst�me de fichiers r�seau (NFS) du Guide de r�f�rence de Red Hat Enterprise Linux. Pour obtenir de plus amples informations sur la configuration de NFS, consultez le Guide d'administration syst�me de Red Hat Enterprise Linux. Les sous-sections suivantes supposent que le lecteur dispose de connaissances �l�mentaires sur NFS.

ImportantImportant
 

La version de NFS incluse dans Red Hat Enterprise Linux, NFSv4, n'a plus besoin du service portmap comme l'explique la Section 5.2. Le trafic NFS utilise d�sormais TCP dans toutes les versions, au lieu de UDP, et en a besoin lors de l'utilisation de NFSv4. NFSv4 inclut d�sormais l'authentification d'utilisateurs et de groupes Kerberos, faisant partie du module de noyau RPCSEC_GSS. Des informations sur portmap sont toujours incluses, vu que Red Hat Enterprise Linux prend en charge NFSv2 et NFSv3 qui l'utilisent.

5.4.1. Planifier prudemment le r�seau

Puisque NFSv4 peut d�sormais transmettre toutes les informations sur le r�seau de mani�re non-crypt�e � l'aide de Kerberos, il est important que le service soit configur� correctement si il se trouve derri�re un pare-feu ou sur un r�seau segment�. NFSv2 et NFSv3 transmettent toujours des donn�es de mani�re non-s�curis�e et vous devriez faire attention. � cet �gard, une conception prudente de r�seau peut aider � lutter contre des br�ches de s�curit�.

5.4.2. Attention aux erreurs de syntaxe

Le serveur NFS d�termine quels syst�mes de fichiers � exporter et quels h�tes doivent recevoir ces r�pertoires au moyen du fichier /etc/exports. Faites bien attention de ne pas ajouter d'espaces superflus lors de la modification du fichier.

Par exemple, la ligne suivante pr�sente dans le fichier /etc/exports permet le partage du r�pertoire /tmp/nfs/ avec l'h�te bob.example.com avec des permissions de lecture et �criture.

/tmp/nfs/     bob.example.com(rw)

En revanche, la ligne suivante dans le fichier /etc/exports permet le partage du m�me r�pertoire d'une part avec l'h�te bob.example.com avec des permissions de lecture-seule et d'autre part avec tout le monde avec des permissions de lecture et �criture, et ce en raison d'un seul espace ajout� apr�s le nom d'h�te.

/tmp/nfs/     bob.example.com (rw)

Il est donc bon de toujours v�rifier tout partage NFS configur� en utilisant la commande showmount afin d'obtenir une id�e claire des �l�ments offerts en partage.

showmount -e <hostname>

5.4.3. N'utilisez pas l'option no_root_squash

Par d�faut, les partages NFS changent la propri�t� de fichiers appartenant au super-utilisateur � celle de l'utilisateur nfsnobody (personne), un compte d'utilisateur sans privil�ges. De cette mani�re, tous les fichiers cr��s par le super-utilisateur appartiennent � l'utilisateur nfsnobody, ce qui �vite le t�l�chargement de programmes avec le bit setuid d�fini.

Si no_root_squash est utilis�, les super-utilisateurs � distance pourront changer tout fichier sur le syst�me de fichiers partag� et laisser des applications avec des chevaux de Troie que d'autres utilisateurs pourraient ex�cuter par inadvertance.

 
 
  Published under the terms of the GNU General Public License Design by Interspire