【Linux】NFS如何限制可以获取NFS输出列表的IP和用户

原创 已于 2024-11-06 16:15:29 修改 · 2.1k 阅读 · 39 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2024-11-06 16:02:53 首次发布

NFS如何限制可以获取NFS输出列表的IP和用户

一、概要

NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。

NFS是一个使用RPC构造的客户端/服务器应用程序,其客户端通过向一台NFS服务器发送RPC请求来访问其中的文件。

尽管这一工作可以使用一般的用户进程来实现,即NFS客户端可以是一个用户进程,对服务器进行显式调用在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。

NFS本身没有提供信息传输的协议和功能,但NFS却能让我们通过网络进行资料的分享,就是因为NFS使用了RPC提供的传输协议,可以说NFS就是使用PRC的一个程序。NFS依赖于RPC协议。

所谓RPC远程过程调用(Remote Procedure Call),是使客户端能够执行其他系统中程序的一种机制。

NFS服务器在端口UDP 2049接收作为UDP数据包的客户端请求,NFS服务本身不提供文件传输功能,我们要远程使用NFS文件系统就需要RPC服务的支持;而portmap服务用来为RPC服务进行动态端口分配和映射,所以portmap服务也是NFS服务所必须的。可以把NFS服务看作RPC服务的一种,开启NFS服务其实就是在开启RPC服务,portmap 服务是用于 RPC 服务(如 NIS (network information service)和 NFS)的动态端口分配守护进程。

安装NFS服务时所需要的两个软件包nfs-utils和portmap:Nfs-utils软件包提供了rpc.nfsd和rpc.mountd两个RPC的daemon(守护进程)程序,而portmap软件包提供了portmap程序。

目前NFS已具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可遭到恶意攻击者的利用。

二、安装

[root@centosclient ~]# rpm -qa |grep nfs         //检查系统是否已经安装
nfs4-acl-tools-0.3.3-13.el7.x86_64
nfs-utils-1.3.0-0.48.el7_4.x86_64                //必要安装
libnfsidmap-0.25-9.el7.x86_64

[root@centosclient ~]# rpm -qa |grep rpc
xmlrpc-c-1.32.5-1905.svn2451.el7.x86_64
xmlrpc-c-client-1.32.5-1905.svn2451.el7.x86_64
libtirpc-0.2.4-0.10
最低0.47元/天 解锁文章
嵌入式linux系统中NFS文件系统挂载详细实现
嵌入式技术开发
05-28 396
大家好,今天主要给大家分享一下,如何利用linux系统实现NFS文件系统挂载的方式与实现。
搭建nfs客户端限制IP
2301_80602036的博客
03-14 894
准备两台虚拟机ip为192.168.144.200 192.168.144.30。虚拟机1操作 yum install nfs-utils #安装nfs服务器。目录被设置为NFS共享目录。这个目录可以被所有的机器访问(由。则允许远程用户以他们自己的用户ID组ID访问共享目录。编辑vi /etc/exports 添加以下内容。挂载nfs 到/mnt/nfs_share目录下。指定),并且这些机器有读写权限(由。确保数据在内存磁盘之间同步,而。
showmount命令 显示NFS服务器的加载信息
01-09
showmount命令查询“mount”守护进程,以显示NFS服务器的加载信息。 语法格式: showmount [参数] 常用参数: -d 仅显示已被NFS客户端加载的目录 -e 显示NFS服务器上所有的共享目录 参考实例 获取已经被客户端加载的NFS共享目录: [root@linuxcool ~]# showmount -d 61.163.231.197 获取NFS服务器的全部共享目录: [root@linuxcool ~]# showmount -e 61.163.231.197 与该功能相关的Linux命令:ip命令 – 显示与操作路由cu命令 – 连接另一个系统主
NFS服务器客户机配置
10-28
实验报告 一、 实验名称:NFS服务器及客户机配置 二、 实验目的:NFS服务器共享目录,客户机可以进行访问 三、 实验步骤: (1) NFS服务器: 1.#vi /etc/sysconfig/network-scripts/ifcfg-eth0进行IP地址配置。IP:192.168.100.3 2.#vi /etc/sysconfig/network 修改计算机名为nfs-server。 3.#reboot 4.#service iptables stop 关闭防火墙。 5.#rpm –q portmap nfs-utils 查看软件包。 6.#mkdir /home/share 创建共享目录。 7.#touch /home/share/file.txt 在共享目录下新建一个文本文档。 8.#echo 123 > /home/share/file.txt 在文本中追加内容123. 9.#vi /etc/exports 设置访问权限。 /home/share 192.168.100.4(sync,rw) 给192.168.100.4这台主机写的权限。 :wq 保存退出。 10.#cat /etc/exports 查看设置的访问权限。 11.#service portmap status #service nfs status 查看两个软件包的状态。 #service nfs start 开启NFS软件包。 #chkconfig --list portmap 查看服务器运行级别3,5是否开启。 #chkconfig --list nfs 查看服务器运行级别3,5是否开启。 #chkconfig --level 35 nfs on 开启3,5运行级别。 #chkconfig --level 35 iptables off 关闭防火墙规则。 #iptables -F(清空规则) #iptables -L(查看) #chmod o+w /home/share/file.txt 给其他用户对共享目录中的文本文档写入权限 # exportfs –av 输出当前主机NFS服务器所有的共享目录。 (2) NFS客户机: 1.#vi /etc/sysconfig/network-scripts/ifcfg-eth0 进行IP地址配置。IP:192.168.100.4 2.#vi /etc/sysconfig/network 修改计算机名为nfs-client。 3.#reboot 4.#service iptables stop 关闭防火墙。 5.# showmount -e 192.168.100.3 查看NFS服务器输出。 6.# mount -t nfs 192.168.100.3:/home/share /mnt 挂载NFS服务器中的共享目录。 7.# cd /mnt 显示当前主机挂载的NFS共享目录。 ls 8.#vi /file.txt 按i可以进入输入模式,完成可以读写的操作。
详解 CentOS 8 中 NFS 服务搭建:共享目录权限控制与客户端挂载(含自动挂载)
最新发布
2501_93939799的博客
11-01 280
本指南涵盖NFS服务部署、权限控制、客户端挂载及自动挂载配置,重点解决共享目录的安全管理问题。通过以上步骤,可实现安全的NFS共享服务,满足企业级文件共享需求。
NFS不安全的配置漏洞
weixin_46564680的博客
10-13 2614
NFS不安全的配置漏洞 NFS简述: 网络文件系统(英语:Network File System,缩写作 NFS)是一种分布式文件系统,力求客户端主机可以访问服务器端文件,并且其过程与访问本地存储时一样,允许网络上的用户以类似于本地存储的方式访问共享文件夹。 NFS服务的默认开放端口为2049/TCP。 漏洞检测: NFS不安全配置漏洞检测可以通过漏洞扫描工具发现 Nessus漏洞报告详情 使用NMAP检测漏洞 使用NMAP扫描发现目标开放2049端口 查看nmap自带的NFS相关的
漏洞修复:NFS如何限制可以获取NFS输出列表IP用户
weixin_54626591的博客
03-25 2608
NFS如何限制可以获取NFS输出列表IP用户
NFS如何限制可以获取NFS输出列表IP用户
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-30 1万+
一、概要 NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。NFS是一个使用RPC构造的客户端/服务器应用程序,其客户端通过向一台NFS服务器发送RPC请求来访问其中的文件。尽管这一工作可以使用一般的用户进程来实现,即NFS客户端可以是一个用户进程,对服务器进行显式调用在NFS的应用中,本地...
限制可以获取NFS输出列表IP用户目标主机showmount -e信息泄露(CVE-1999-0554)
weixin_43135696的博客
06-30 5437
一、漏洞描述: NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表IP用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 二、解决方案: # 在NFS服务器上: vim /etc/hosts.allow mountd:192.168.1.1 rpcbind:192.168.1.1:allow vim /etc/hosts.deny mountd:ALL rpcbind:ALL:deny service sshd restart 一个IP...
IP地址段的过滤,限制ip限制主机访问
09-30
6. **IP地址的判断与转换**:在Java中,可以使用`java.net.InetAddress`类获取解析IP地址。`InetAddress.getByName(ip)`可将字符串形式的IP转换为InetAddress对象,然后使用`getHostAddress()`获取IP字符串,便于...
AIX(NFS服务器搭建)
03-29
为了实现AIX与Windows的NFS互访,需要在Windows系统上安装Services for UNIX (SFU) 或者Windows Services for Linux (WSL)。以下是使用SFU的步骤: **下载与安装** 下载并安装Microsoft Services for UNIX 3.5或更...
限制可以获取NFS输出列表IP用户
qq_42033668的博客
11-18 3953
解决目标主机showmount -e信息泄露(CVE-1999-0554) 修复建议: 限制可以获取NFS输出列表IP用户。 除非绝对必要,请关闭NFS服务、MOUNTD 在NFS服务器上: vi /etc/hosts.allow mountd:192.168.1.16 rpcbind:192.168.1.16:allow vi /etc/hosts.deny mountd:ALL rpcbind:ALL:deny ...
限制可以获取NFS输出列表ip网段
weixin_43723044的博客
03-10 2868
漏洞 目标主机showmount -e信息泄露(CVE-1999-0554) 处理 允许某个网段可以访问 echo “mountd:192.168.22.” >> /etc/hosts.allow echo “rpcbind:192.168.22.:allow” >> /etc/hosts.allow 禁止其他全部访问 echo “mountd:all” >> /etc/hosts.deny echo “mountd:all” >> /etc/hosts.
nfs漏洞修复(showmount -e)
kali_yao的博客
12-18 1万+
注:nfs是生产不太建议用,如果要用的话不要对外;但如果真要对外用的话也可修复漏洞 1.漏洞概述 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 允许指定主机通过mount到nfs服务器上,阻止其他主机通过showmount -e方式,泄露NFS共享目录结构信息 2、先查看你nfs的配置 ~]# cat /etc/exports /ceshi 172.17.0.1
nfs之限定导出属性实例等
weixin_34071713的博客
06-07 178
实例:nfs服务器:172.16.100.1客户端:172.16.100.3 1.创建挂载点并在客户端上挂载: S#vim /etc/exports /data 172.16.100.3/16(rw) /read 172.16.100.3/16(ro) C#mount -t nfs ...
NFS高版本漏洞修复方法
jiayu的博客
08-14 1501
由于centos8后,nfs相关的配置发送了变化,无法固定端口方式来做防火墙,由于一般导致漏洞的原因主要是由于showmount -e,所以我们这里采取的方式是nfs server端仅使用v4版本,禁止使用v3版本。但是,您还可以将 NFS 配置为只支持 NFS 版本 4.0 及更新的版本。这可最大限度地减少系统上打开的端口的数量运行的服务,因为 NFSv4 不需要。正常情况下NFS可以使用firewalld进行规避,但是由于k8s默认底层会调用iptables,这里就不采用firewalld方式了。
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 575
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
华为欧拉2204NFS系统漏洞修复
u011197085的博客
03-13 996
从你提供的文件内容来看,当前的NFS共享配置允许整个子网内的任何主机以读写(rw)模式挂载/data/data目录。rwsyncall_squash这样的配置为你的网络内的任何主机提供了相当宽松的访问权限,可能不是特别安全,特别是如果你只想让特定的几台服务器有权限访问此NFS共享。如果你希望仅限制特定的几台服务器(如你之前提到的四台服务器:192.168.112.21、192.168.112.22、192.168.112.23、192.168.112.24)访问/data/data,你需要将。
Linux NFS共享目录配置漏洞
m0_62670778的博客
05-11 1651
使用nmap扫描靶机的IP地址,可以看到靶机的2049端口开放,且使用了nfs服务。尝试查看靶机利用NFS共享的全部文件夹:看到结果是。接下来可以利用nfs漏洞实现远程ssh无密码登录。传输成功之后再次尝试使用ssh命令连接靶机。这表示将根目录下单全部文件都共享了。,其目的就是映射共享文件夹下的根目录。将靶机上的共享文件挂载到该文件上面。在攻击机上面创建一个根文件夹。命令查看所有的本地磁盘的信息。我们尝试用ssh服务连接上靶机。在挂载成功之后我们可以通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦想做运维工程师的小青年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值