網絡文件系統（NFS）配置及安全性

◆劉仁維

(蘭州職業技術學院 甘肅 730070)

網絡文件系統（NFS）配置及安全性

◆劉仁維

(蘭州職業技術學院 甘肅 730070)

網絡文件系統（NFS）是網絡中主機之間共享數據的協議，性能高，配置靈活，但是業界認為，NFS協議不夠安全，本文提出了NFS v4安全性加固的方法，評估了NFS v4的安全性。

網絡安全；NFS協議；安全配置；安全評估

0 引言

網絡文件系統（NFS：Network File System）是一種在網絡中主機之間共享數據的技術。在客戶端完成的工作數據，可以保存到NFS服務器上用戶的路徑下，可用于局域網、廣域網、容災備份、云存儲和云計算中[1]，與操作系統和硬件無關，在類 UNIX系統之間應用廣泛。

1 NFS概述

1.1 版本

NFS v1由SUN公司研發，包含在SUN操作系統里；NFS v2是最原始的NFS協議，由RFC1094描述， UDP傳輸；NFS v3在RFC1813中描述，增加了TCP協議的相關支持，安全異步，服務端ACL；NFS v4在RFC3010，RFC3530，RFC7530中描述，要求所有實現都必須支持 kerberos的身份驗證；RFC5661描述NFS v4.1，開始支持pNFS（parallel NFS：并行網絡文件系統），RFC7862描述NFS v4.2。本文討論目前常用的NFS v4安全性。

1.2 功能及機制

NFS v4在操作系統內核級別上實現文件共享，由客戶端操作系統代表客戶端用戶進程調用。NFS服務器可以看作是文件服務器，客戶端通過網絡將NFS服務器的檔案掛載到自己的系統中，在客戶看來使用NFS的遠端文件就像是在使用本地文件一樣，能夠訪問一個本地文件的客戶端程序不需要做任何修改，就能夠訪問一個NFS文件。訪問的是本地文件還是NFS文件對于客戶端來說是透明的，當文件被打開時，內核將本地文件的引用傳遞給本地文件訪問系統，而將一個NFS文件的引用傳遞給NFS服務器。

NFS基于 XDR和 RPC的協議。XDR（eXternal Data Representation：外部數據表示法）把數據從一種格式轉換成另一種標準數據格式表示法，確保在不同的計算機、操作系統及程序語言中，所有數據代表的意義都是相同的。RPC（Remote Procedure Call：遠程程序調用）請求遠程計算機給予服務。NFS服務過程如下：

（2）服務器端找到對應的已注冊的NFS守護端口后會回報給客戶端。由于NFS的各項功能都必須要向RPC注冊，因此RPC了解NFS服務的各項功能的端口、進程號和NFS在主機所監聽的地址等，而客戶端才能夠通過 RPC的詢問找到正確對應的端口。

（3）客戶端了解正確的端口后，就可以直接與NFS守護進程來聯機。

NFS v4引入了復合過程（將多個RPC組合到一個調用中）的思想，客戶機可以將 lookup、open和read操作組合到一個RPC請求中，這樣客戶機只需一次請求就可以從文件中讀取數據，文件系統操作需要更少的RPC，從而使 NFS響應速度更快[2]。

1.3 NFS與其它同類協議的比較

NFS 比 CIFS（Common Internet File System），FTP（File Transfer Protocol），SMB（Service Message Block）等功能相似協議更容易配置，在學校、企事業單位和網吧應用很廣，在局域網中看高清視頻流暢。

2 NFS v4的安全配置

為了充分發揮NFS v4 的安全性能，必須精確完成以下安全配置（基于Linux操作系統）：

2.1 安全登錄配置

（1）使用Kerberos v5作為登錄驗證系統， 使用DES加密RPC請求中的時間戳記來減少攻擊者欺騙 RPC 請求的嘗試。

（2）如果使用UID/GID身份驗證，請勿允許NFS客戶機使用 root用戶憑證訪問文件系統。不要使用no_root_squash，盡量使用root_squash 或all_squash，這樣客戶端的任何用戶在服務器端只有nobody權限，可以防止客戶端冒名服務端UID和GID獲得相當于NFS服務器上的同名同組操作權限，也可使用anonuid，anongid選項壓縮客戶權限到指定用戶或組權限。

2.2 系統安全配置

（1）盡量將其置于防火墻之后，結合TCP_Wrappers來限制RPC服務。

由于臺灣海峽冬季風浪較大，開航前嚴格執行裝卸貨作業的相關規定，大副應根據船長提供航次生產任務和裝貨清單結合本船干舷，穩性資料及船舶強度，編制《貨物配載圖》。裝貨期間，根據船舶穩性和強度盡量達到配載均勻，保持船舶正浮，由于高速船高速航行時，船頭吃水變小，所以在配載時盡量保持較小吃水差。大副將本航次的配載計劃、裝(卸)要求及注意事項等與裝卸的工頭進行溝通；嚴格安裝配載圖進行裝卸貨作業，防止因貨物作業不善而導致船舶強度和穩性受到影響。

（2）確保已安裝了最新的軟件補丁，特別是安全性相關的補丁，如#1095935 補丁可以防止UID欺騙。

（3）為了防止可能的Dos攻擊，需要合理設定nfsd的copy數目（默認是8）。

2.3 導出目錄和文件配置

（1）使用nosuid和noexec選項禁止有suid特性的程序執行，不要export可執行特性。

（2）對有權限訪問文件系統的用戶明確地導出文件系統。合理的設定/etc/exports共享出去的目錄，明確設置 rw=host的選項，ro(只讀)的選項和access=host的選項，不要export home目錄。

特別注意配置文件語法，一個多余的空格，一個錯誤的換行可能使權限與預期完全相反。

3 NFS v4的安全機制與安全性評估

3.1 NFS v4的主要安全機制

（1）使用TCP作為傳輸層，開發了新的ACL控制機制，對WAN環境部署做出改進并提出分布式文件系統方案，自身集成輔助協議，只需要TCP 2049一個端口即可，這樣極大方便NFS在防火墻后環境中部署。

（2）NFS v4要求所有實現都必須支持kerberos的身份驗證，Kerberos 5在 RPCSEC_GSS（RPC security protocol_the Generic Security Service：基于一般安全性服務的RPC安全協議）安全機制之下提供，RPCSEC-GSS基于GSS-API，可以通過配置來使用RPCSEC-GSS方式替代基于UID/GID的身份驗證，從而提高協議的安全性，這種安全機制還可以提供可選擇的、多重的數據保護措施，如數據的完整性和機密性，NFS v4由客戶機和服務器來協商身份驗證的方式和數據保護的級別[3]。

（3）NFS v4是“有狀態”（stateful）的協議，每個文件打開操作、文件加鎖功能和獲取文件系統根節點功能以及相當多的RPC 調用都被轉換成了內核層的文件系統操作，消除了可能的攻擊，提高了安全性。

3.2 NFS v4的安全不足

（1）NFS v4安全配置靈活但過于瑣碎，配置項達到幾十項，配置語法及選項很容易出現錯誤，如果用戶分組較多且權限錯綜復雜，控制目標的權限精確性難以實現，對訪問控制機制難于做到得心應手。

（2）NFS的實現依賴于 RPC遠程過程調用協議，NTP(Network Time Protocol) 網絡時間協議，Kerberos網絡認證協議等協議。RPC是黑客攻擊的首選途徑；NTP有惡意重放、篡改數據包、放大攻擊和假扮合法服務器的漏洞和相應攻擊方法；Kerberos 5存在竊聽、重放、篡改和拒絕服務的漏洞，如CVE-2014-4342，就是MIT Kerberos 5 (krb5) 1.7.x - 1.12.x上，存在的遠程攻擊者通過將無效的令牌注入到GSS-API應用會話內，造成緩沖區溢出或空指針間接引用，從而導致應用崩潰的漏洞[4]，Kerberos 5所基于的DES，加密強度不足（在RFC 6649中將采用AES）。

3.3 NFS v4的安全性評估

NFS的安全性是由其本身和所依賴的協議共同構成的協議簇的安全性。由于本身安全問題，再加上所依賴的協議潛在的安全問題，NFS無法達到理想的安全要求，其綜合安全性的不足使其不適合高安全要求的場合。

4 結束語

任何網絡服務器都會有安全問題，NFS服務器也不例外。由于設計方面的因素，NFS服務器做不到絕對安全。對NFS v4，只要正確配置，能滿足大部分場合的安全需求。

[1]何文婷,劉健,袁慶升.支持 Hadoop大數據訪問的 pNFS框架研究與實現[J].計算機應用研究，2016.

[2]D.Noveck.NFS version 4protocol[EB/OL]. https://www.rfc-editor.org/rfc/pdfrfc/rfc3010.txt.pdf.

[3]劉麗霞,邱曉華. Linux服務范例速查大全[M].北京:清華大學出版社，2016.

[4]CVE.CVE-2014-4342[EB/OL].http://cve.mitre. org/cgi-bin/cvename.cgi?name=CVE-2014-4342.