CentOS 6.7 安装配备nfs 服务

NFS是网络文件系统Network File
System)的简称,是分布式计算系统的一个组成部分,可实现在异种网络上共享和装配远程文件系统。NFS由Sun公司开发,目前已经成为文件服务的一种标准RFC1904,RFC1813)。其最大的功能就是可让不同操作系统的计算机共享数据,所以也可以将它看做是一个文件服务器。NFS提供了除SAMBA之外,Windows与Linux、Unix与Linux之间通信的方法。

CentOS 6.7 安装配置nfs 服务

NFS是Network File
System的缩写,即网络文件系统。它功能是通过网络让不同的机器、不同的操作系统能够彼此分享各自的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据。

NFS在文件传送或信息传送过程中依赖于RPC协议。RPC:远程过程调用(Remote
Procedure
Call)是能使客户端执行其他系统中程序的一种机制。NFS本身是没有提供信息传输的协议和功能的,但NFS却能让我们通过网络进行资料的分享,这是因为NFS使用了一些其它的传输协议。而这些传输协议用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC
SERVER。所以只要用到NFS的地方都要启动RPC服务,不论是NFS SERVER或者NFS
CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM
PORT的对应。可以这么理解RPC和NFS的关系:NFS是一个文件系统,而RPC是负责信息的传输。

所以,我们需要安装两个软件包:nfs-utils和rpcbind,在centOS
5中rpcbind叫portmap,作用都是一样的,名字不同而已。

安装方式:yum安装

nfs服务端:balichvm(192.168.171.51)

客户端:balichos(192.168.171.50)

安装步骤:

1)、在balichvm上安装nfs-utils和rpcbind,使用yum安装,如下:

[[email protected]
~]# yum install –y nfs-utilsrpcbind

2)、在balichvm建立需要分享的目录和编辑配置文件/etc/exports(这个文件默认没有)

[[email protected]
~]# mkdir –p /data/nfsdata

[[email protected]
~]#vim /etc/exports

/data/nfsdata/ 192.168.171.0/24 (rw,sync,root_squash)

这里的配置是共享目录/data/nfsdata/;网段192.168.171.0的主机可以有读写权限、限制root权限、同步到磁盘)

/etc/exports配置文件的格式和选项有:

格式:共享的目录共享给那些网段的主机共享的权限

选项:(共享的权限)

ro:——只读;

rw:——读写;

sync:——同步模式,内存中数据时时写入磁盘;

async:——不同步,把内存中数据定期写入磁盘中;

no_root_squash:——加上这个选项后,root用户就会对共享的目录拥有至高的权限控制,就像是对本机的目录操作一样。不安全,不建议使用;

root_squash:——和上面的选项对应,root用户对共享目录的权限不高,只有普通用户的权限,即限制了root;

all_squash:——不管使用NFS的用户是谁,他的身份都会被限定成为一个指定的普通用户身份;

anonuid/anongid:——要和root_squash以及all_squash一同使用,用于指定使用NFS的用户限定后的uid和gid,前提是本机的/etc/passwd中存在这个uid和gid。

3)、在balichvm配置防火墙规则,编辑/etc/sysconfig/nfs,固定服务的端口,默认是注释的,需要打开。

# Port rpc.mountd should listen on.

MOUNTD_PORT=892 #把前面的#号去掉

# Port rquotad should listen on.

RQUOTAD_PORT=875 #把前面的#号去掉

# TCP port rpc.lockd should listen on.

LOCKD_TCPPORT=32803 #把前面的#号去掉

# UDP port rpc.lockd should listen on.

LOCKD_UDPPORT=32769 #把前面的#号去掉

这些端口是配置文件默认的,是可以自行修改增加需要的端口号,然后保存配置文件。

然后启动rpdbind和nfs服务:

/etc/init.d/rpcbind restart

/etc/init.d/nfs restart

服务启动后,使用rpcinfo –p查看启用的端口。

[[email protected]
~]# rpcinfo -p

program vers proto port service

100000 4 tcp111 portmapper

100000 3 tcp111 portmapper

100000 2 tcp111 portmapper

100000 4 udp111 portmapper

100000 3 udp111 portmapper

100000 2 udp111 portmapper

100005 1 udp892 mountd

100005 1 tcp892 mountd

100005 2 udp892 mountd

100005 2 tcp892 mountd

100005 3 udp892 mountd

100005 3 tcp892 mountd

100003 2 tcp2049 nfs

100003 3 tcp2049 nfs

100003 4 tcp2049 nfs

100227 2tcp 2049 nfs_acl

100227 3 tcp2049 nfs_acl

100003 2 udp2049 nfs

100003 3 udp2049 nfs

100003 4 udp2049 nfs

100227 2 udp2049 nfs_acl

100227 3 udp2049 nfs_acl

100021 1 udp32769 nlockmgr

100021 3 udp32769 nlockmgr

100021 4 udp32769 nlockmgr

100021 1 tcp32803 nlockmgr

100021 3 tcp32803 nlockmgr

100021 4 tcp32803 nlockmgr

[[email protected]
~]#

将这些启用的端口(tcp和udp)写到iptables防火墙里面(vim
/etc/sysconfig/iptables),允许通过,如下:

-A INPUT -m state –state NEW -m tcp -p tcp–dport 111 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp–dport 892 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp–dport 2049 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp–dport 32769 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp–dport 32803 -j ACCEPT

-A INPUT -m state –state NEW -m udp -p udp–dport 111 -j ACCEPT

-A INPUT -m state –state NEW -m udp -p udp–dport 892 -j ACCEPT

-A INPUT -m state –state NEW -m udp -p udp–dport 2049 -j ACCEPT

-A INPUT -m state –state NEW -m udp -p udp–dport 32769 -j ACCEPT

-A INPUT -m state –state NEW -m udp -p udp–dport 32803 -j ACCEPT

然后重启iptables服务:/etc/init.d/iptables restart

4)、在客户端balichos上,安装nfs-utils,并且挂载balichvm共享的nfsdata目录,查看某台主机共享的nfs使用命令showmount–e
ip(主机名)。

[[email protected]
~]# yum install –y nfs-utils

[[email protected]
~]# showmount -e192.168.171.51 ##查看共享的nfs

Export list for 192.168.171.51:

/data/nfsdata 192.168.171.0/24

[[email protected]
~]#

[[email protected]
~]# mount -t nfs192.168.171.51:/data/nfsdata/ /mnt/

[[email protected]
~]# df -h

Filesystem Size Used Avail Use% Mountedon

/dev/sda3 18G 5.9G 11G 36% /

tmpfs 495M 0 495M 0% /dev/shm

/dev/sda1 190M 36M 145M 20% /boot

192.168.171.51:/data/nfsdata/ 18G 3.8G 13G 24% /mnt

现在就已经挂载了一个文件系统,但是由于在balichvm上/data/nfsdata的权限是755,其他用户不具备写的权限,而在nfs配置文件/etc/exports上又限定了root用户权限,默认是使用其他的用户的登录,所有无法写入数据,只有读取的权限。

如果需要有写入的权限,可以修改权限。

6.7 安装配置nfs 服务 NFS是Network File
System的缩写,即网络文件系统。它功能是通过网络让不同的机器、不同的操作系统能够彼此分享各…

NFS是古老的协议了,到了Linux不断更新和完善,从以前只支持UDP,现在支持TCP,现在到了V4版本。不过还是不安全,最大的毛病就是不需要身份认证,也只建议在内网用一下。
NFS一方是服务方,一方是客户端。
客户端使用需要启用portmap服务(service portmap
start),不然不能接入,有很多文章说需要启用NFS相关的服务,其实作为客户端是不必的,portmap作为RPC接入服务就可以了。而到了CentOS6,portmap就没有了,而变成了rpcbind,默认是开启的,就不需要再麻烦处理了。
服务器端默认是安装了,但是没有启用。
无论是portmap还是rpcbind都在网络上监听UDP和TCP的111端口
NFS监听在UDP和TCP的2049端口,还有些动态的下面在细说。
它的共享目录配置文件在/etc/exports,服务配置文件在/etc/sysconfig/nfs

任何网络服务器都会有安全问题,NFS也不例外。由于设计方面的因素,NFS服务器不可能绝对安全。一般来说,不应该将NFS服务器运行在比较敏感的系统或者只有一般防火墙的机器上,应该尽量将其置于防火墙之后。配置安全的NFS服务器,可以从限制RCP服务的访问和控制文件系统的导出权限两方面着手。

共享目录
/var/tmp/share 172.26.1.0/24(rw,no_all_squash)
一般就是目录位置和许可IP地址范围加(),括号里规定了读写rw还是只读ro,
是规定了服务器和客户端里Linux用户的映射关系,no_all_squash是映射用户和组的关系,但不包括root,all_squash映射到匿名组以及匿名用户,就是所谓的nfsnobody,如果客户端没有安装NFS,那么它的所有者和组就是65534,其实nfsnobody就是65534,如果启用NFS服务就会建立起组,就会自动映射出组的名字,其实最本质的就是组的以及用户的数字号码,比如root用户就是0,root组也是0。root_squash是把root映射为匿名,no_root_squash是root映射为root,还有anonuid=xxx,anongid=xxx映射为指定的用户和组,xxx就是用户和组的数字号码。
其它一些参数基本上用不上。比如:sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;async:将数据先保存在内存缓冲区中,必要时才写入磁盘。

NFS服务器面临的安全隐患

服务配置文件
这个文件一般是不进行配置,默认就可以了。
但是当启用了防火墙iptable就不得不配置了。
通过抓包可以看到,nfs的连接过程不仅仅需要111和2049端口,还有些动态的端口,这些动态的端口在每次重启动nfs服务都会变化,iptable防火墙看可没有那么智能可以动态的打开端口,这时候就需要固化监听的端口了。
编辑/etc/sysconfig/nfs文件
RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
我没改端口号,就是把#去掉了。
重启服务
netstat -lpn | grep -v unix
tcp    0    0.0.0.0:892                0.0.0.0:*                 
LISTEN      3959/rpc.mountd
tcp    0    0.0.0.0:875                0.0.0.0:*                 
LISTEN      3954/rpc.rquotad
tcp    0    0 0.0.0.0:32803              0.0.0.0:*                 
LISTEN      –
udp  0    0 0.0.0.0:32769              0.0.0.0:*                       
      –
然后当然是配置防火墙,把这些端口加上了。
cat /etc/sysconfig/iptables
-A INPUT -p udp -m udp –dport 111 -j ACCEPT
-A INPUT -p udp -m udp –dport 32769 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 32803 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 892 -j ACCEPT
-A INPUT -p udp -m udp –dport 892 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 875 -j ACCEPT
-A INPUT -p udp -m udp –dport 875 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 2049 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 111 -j ACCEPT

因为NFS在网络上明文传输所有信息,按照默认设置,NFS共享把根用户改成用户nfsnobody,它是一个不具备特权的用户账号。这样,所有根用户创建的文件都会被用户nfsnobody所有,从而防止了设置setuid的程序被上传到系统。如果使用了no_root_squash,远程用户就能够改变共享文件系统上的任何文件,把设置了特洛伊木马的程序留给其他用户,在无意中执行。

服务器端
查看状态命令
nfsstat
查看配置
exportfs
查看RPC情况
rpcinfo -p
查看目前已经连进本机的情况
showmount -a

NFS服务器安全策略

客户端
临时建立命令
mount 172.26.1.73:/var/tmp/share /home/shenxu/source
172.26.1.73服务器IP
/var/tmp/share服务器共享的目录
/home/shenxu/source映射到本地的目录
长期建立映射,编辑/etc/fstab,添加下面一行
172.26.1.73:/var/tmp/share /home/shenxu/source  nfs    defaults 0 0

1)使用TCP_Wrappers

另外有些时候用showmount
-a能看到根本没有的连接,是以前连接的痕迹,重启也还有。虽然没啥影响,但是我们追求完美,Linux基本上都是以文件形式存在的,那么这个重启以后还有,肯定是存在硬盘上的某个文件,它就是/var/lib/nfs/rmtab,清空需要清的项目就好。

portmap和rpc.nfsd结合起来,使NFS服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全,在使用NFS时最好结合TCP_Wrappers来限制使用范围。

————————————–分割线

Ubuntu 12.04安装NFS
server
http://www.linuxidc.com/Linux/2012-09/70728.htm

NFS服务器安装配置实现Ubuntu 12.04与ARM文件共享
http://www.linuxidc.com/Linux/2012-10/73159.htm

Ubuntu搭建nfs服务器
http://www.linuxidc.com/Linux/2012-10/71930.htm

文件服务器NFS配置详解
http://www.linuxidc.com/Linux/2013-06/86542.htm

Ubuntu下搭建NFS网络文件系统服务器
http://www.linuxidc.com/Linux/2013-07/87367.htm

Heartbeat_ldirector+LB+NFS实现HA及LB、文件共享
http://www.linuxidc.com/Linux/2013-06/85292.htm

CentOS 5.5配置NFS服务器教程
http://www.linuxidc.com/Linux/2013-03/81737.htm

Ubuntu 12.10下NFS的安装使用
http://www.linuxidc.com/Linux/2013-03/80478.htm

2)注意配置文件语法错误

————————————–分割线

更多CentOS相关信息见CentOS 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=14

本文永久更新链接地址:http://www.linuxidc.com/Linux/2015-07/120562.htm

图片 1

NFS服务器通过/etc/exports文件来决定要导出哪些文件系统,以及把这些目录导出到哪些主机上。编辑这个文件的时候要特别小心,不要添加额外的空格。

例如:/etc/exports文件的以下行会使主机bob.example.com
能够共享/tmp/nfs/目录。

/tmp/nfs/ bob.example.com(rw)

但是 /etc/exports 文件中这一行的情况却不同。它共享同一目录,让主机
bob.example.com
拥有只读权限,却给全局以读写权限。这全是由主机后面的一个空格造成的。

/tmp/nfs/

bob.example.com (rw)