5.4. S�curisation de NFS
Le syst�me de fichiers r�seau (ou NFS, de l'anglais Network File System) est un service qui fournit des syst�mes de fichiers accessibles par r�seau � des ordinateurs clients. Pour davantage d'informations sur le fonctionnement de NFS, reportez-vous au chapitre intitul� Syst�me de fichiers r�seau (NFS) du Guide de r�f�rence de Red Hat Enterprise Linux. Pour obtenir de plus amples informations sur la configuration de NFS, consultez le Guide d'administration syst�me de Red Hat Enterprise Linux. Les sous-sections suivantes supposent que le lecteur dispose de connaissances �l�mentaires sur NFS.
 | Important |
|---|
| | La version de NFS incluse dans Red Hat Enterprise Linux, NFSv4, n'a plus besoin du service portmap comme l'explique la Section 5.2. Le trafic NFS utilise d�sormais TCP dans toutes les versions, au lieu de UDP, et en a besoin lors de l'utilisation de NFSv4. NFSv4 inclut d�sormais l'authentification d'utilisateurs et de groupes Kerberos, faisant partie du module de noyau RPCSEC_GSS. Des informations sur portmap sont toujours incluses, vu que Red Hat Enterprise Linux prend en charge NFSv2 et NFSv3 qui l'utilisent. |
5.4.1. Planifier prudemment le r�seau
Puisque NFSv4 peut d�sormais transmettre toutes les informations sur le r�seau de mani�re non-crypt�e � l'aide de Kerberos, il est important que le service soit configur� correctement si il se trouve derri�re un pare-feu ou sur un r�seau segment�. NFSv2 et NFSv3 transmettent toujours des donn�es de mani�re non-s�curis�e et vous devriez faire attention. � cet �gard, une conception prudente de r�seau peut aider � lutter contre des br�ches de s�curit�.
5.4.2. Attention aux erreurs de syntaxe
Le serveur NFS d�termine quels syst�mes de fichiers � exporter et quels h�tes doivent recevoir ces r�pertoires au moyen du fichier /etc/exports. Faites bien attention de ne pas ajouter d'espaces superflus lors de la modification du fichier.
Par exemple, la ligne suivante pr�sente dans le fichier /etc/exports permet le partage du r�pertoire /tmp/nfs/ avec l'h�te bob.example.com avec des permissions de lecture et �criture.
/tmp/nfs/ bob.example.com(rw) |
En revanche, la ligne suivante dans le fichier /etc/exports permet le partage du m�me r�pertoire d'une part avec l'h�te bob.example.com avec des permissions de lecture-seule et d'autre part avec tout le monde avec des permissions de lecture et �criture, et ce en raison d'un seul espace ajout� apr�s le nom d'h�te.
/tmp/nfs/ bob.example.com (rw) |
Il est donc bon de toujours v�rifier tout partage NFS configur� en utilisant la commande showmount afin d'obtenir une id�e claire des �l�ments offerts en partage.
5.4.3. N'utilisez pas l'option no_root_squash
Par d�faut, les partages NFS changent la propri�t� de fichiers appartenant au super-utilisateur � celle de l'utilisateur nfsnobody (personne), un compte d'utilisateur sans privil�ges. De cette mani�re, tous les fichiers cr��s par le super-utilisateur appartiennent � l'utilisateur nfsnobody, ce qui �vite le t�l�chargement de programmes avec le bit setuid d�fini.
Si no_root_squash est utilis�, les super-utilisateurs � distance pourront changer tout fichier sur le syst�me de fichiers partag� et laisser des applications avec des chevaux de Troie que d'autres utilisateurs pourraient ex�cuter par inadvertance.
