【Linux】NFS如何限制可以获取NFS输出列表的IP和用户

已于 2024-11-06 16:15:29 修改
阅读量1.9k 收藏 39
点赞数 34
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
于 2024-11-06 16:02:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mqw970211/article/details/143571308

NFS如何限制可以获取NFS输出列表的IP和用户

一、概要

NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。

NFS是一个使用RPC构造的客户端/服务器应用程序,其客户端通过向一台NFS服务器发送RPC请求来访问其中的文件。

尽管这一工作可以使用一般的用户进程来实现,即NFS客户端可以是一个用户进程,对服务器进行显式调用在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。

NFS本身没有提供信息传输的协议和功能,但NFS却能让我们通过网络进行资料的分享,就是因为NFS使用了RPC提供的传输协议,可以说NFS就是使用PRC的一个程序。NFS依赖于RPC协议。

所谓RPC远程过程调用(Remote Procedure Call),是使客户端能够执行其他系统中程序的一种机制。

NFS服务器在端口UDP 2049接收作为UDP数据包的客户端请求,NFS服务本身不提供文件传输功能,我们要远程使用NFS文件系统就需要RPC服务的支持;而portmap服务用来为RPC服务进行动态端口分配和映射,所以portmap服务也是NFS服务所必须的。可以把NFS服务看作RPC服务的一种,开启NFS服务其实就是在开启RPC服务,portmap 服务是用于 RPC 服务(如 NIS (network information service)和 NFS)的动态端口分配守护进程。

安装NFS服务时所需要的两个软件包nfs-utils和portmap:Nfs-utils软件包提供了rpc.nfsd和rpc.mountd两个RPC的daemon(守护进程)程序,而portmap软件包提供了portmap程序。

目前NFS已具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可遭到恶意攻击者的利用。

二、安装

[root@centosclient ~]# rpm -qa |grep nfs         //检查系统是否已经安装
nfs4-acl-tools-0.3.3-13.el7.x86_64
nfs-utils-1.3.0-0.48.el7_4.x86_64                //必要安装
libnfsidmap-0.25-9.el7.x86_64

[root@centosclient ~]# rpm -qa |grep rpc
xmlrpc-c-1.32.5-1905.svn2451.el7.x86_64
xmlrpc-c-client-1.32.5-1905.svn2451.el7.x86_64
libtirpc-0.2.4-0.10
最低0.47元/天 解锁文章

200万优质内容无限畅学
嵌入式linux系统中NFS文件系统挂载详细实现
嵌入式技术开发
05-28 245
大家好,今天主要给大家分享一下,如何利用linux系统实现NFS文件系统挂载的方式与实现。
NFS如何限制可以获取NFS输出列表IP用户
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-30 1万+
一、概要 NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。NFS是一个使用RPC构造的客户端/服务器应用程序,其客户端通过向一台NFS服务器发送RPC请求来访问其中的文件。尽管这一工作可以使用一般的用户进程来实现,即NFS客户端可以是一个用户进程,对服务器进行显式调用在NFS的应用中,本地...
漏洞修复:NFS如何限制可以获取NFS输出列表IP用户
weixin_54626591的博客
03-25 2453
NFS如何限制可以获取NFS输出列表IP用户
限制可以获取NFS输出列表IP用户目标主机showmount -e信息泄露(CVE-1999-0554)
weixin_43135696的博客
06-30 5185
一、漏洞描述: NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表IP用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 二、解决方案: # 在NFS服务器上: vim /etc/hosts.allow mountd:192.168.1.1 rpcbind:192.168.1.1:allow vim /etc/hosts.deny mountd:ALL rpcbind:ALL:deny service sshd restart 一个IP...
限制可以获取NFS输出列表IP用户
qq_42033668的博客
11-18 3889
解决目标主机showmount -e信息泄露(CVE-1999-0554) 修复建议: 限制可以获取NFS输出列表IP用户。 除非绝对必要,请关闭NFS服务、MOUNTD 在NFS服务器上: vi /etc/hosts.allow mountd:192.168.1.16 rpcbind:192.168.1.16:allow vi /etc/hosts.deny mountd:ALL rpcbind:ALL:deny ...
搭建nfs客户端限制IP
2301_80602036的博客
03-14 762
准备两台虚拟机ip为192.168.144.200 192.168.144.30。虚拟机1操作 yum install nfs-utils #安装nfs服务器。目录被设置为NFS共享目录。这个目录可以被所有的机器访问(由。则允许远程用户以他们自己的用户ID组ID访问共享目录。编辑vi /etc/exports 添加以下内容。挂载nfs 到/mnt/nfs_share目录下。指定),并且这些机器有读写权限(由。确保数据在内存磁盘之间同步,而。
限制可以获取NFS输出列表ip网段
weixin_43723044的博客
03-10 2777
漏洞 目标主机showmount -e信息泄露(CVE-1999-0554) 处理 允许某个网段可以访问 echo “mountd:192.168.22.” >> /etc/hosts.allow echo “rpcbind:192.168.22.:allow” >> /etc/hosts.allow 禁止其他全部访问 echo “mountd:all” >> /etc/hosts.deny echo “mountd:all” >> /etc/hosts.
IP地址段的过滤,限制ip限制主机访问
09-30
6. **IP地址的判断与转换**:在Java中,可以使用`java.net.InetAddress`类获取解析IP地址。`InetAddress.getByName(ip)`可将字符串形式的IP转换为InetAddress对象,然后使用`getHostAddress()`获取IP字符串,便于...
AIX(NFS服务器搭建)
03-29
为了实现AIX与Windows的NFS互访,需要在Windows系统上安装Services for UNIX (SFU) 或者Windows Services for Linux (WSL)。以下是使用SFU的步骤: **下载与安装** 下载并安装Microsoft Services for UNIX 3.5或更...
nfs漏洞修复(showmount -e)
kali_yao的博客
12-18 1万+
注:nfs是生产不太建议用,如果要用的话不要对外;但如果真要对外用的话也可修复漏洞 1.漏洞概述 可以对目标主机进行"showmount -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。 允许指定主机通过mount到nfs服务器上,阻止其他主机通过showmount -e方式,泄露NFS共享目录结构信息 2、先查看你nfs的配置 ~]# cat /etc/exports /ceshi 172.17.0.1
showmount命令 显示NFS服务器的加载信息
01-09
showmount命令查询“mount”守护进程,以显示NFS服务器的加载信息。 语法格式: showmount [参数] 常用参数: -d 仅显示已被NFS客户端加载的目录 -e 显示NFS服务器上所有的共享目录 参考实例 获取已经被客户端加载的NFS共享目录: [root@linuxcool ~]# showmount -d 61.163.231.197 获取NFS服务器的全部共享目录: [root@linuxcool ~]# showmount -e 61.163.231.197 与该功能相关的Linux命令:ip命令 – 显示与操作路由cu命令 – 连接另一个系统主
nfs之限定导出属性实例等
weixin_34071713的博客
06-07 155
实例:nfs服务器:172.16.100.1客户端:172.16.100.3 1.创建挂载点并在客户端上挂载: S#vim /etc/exports /data 172.16.100.3/16(rw) /read 172.16.100.3/16(ro) C#mount -t nfs ...
NFS高版本漏洞修复方法
jiayu的博客
08-14 1285
由于centos8后,nfs相关的配置发送了变化,无法固定端口方式来做防火墙,由于一般导致漏洞的原因主要是由于showmount -e,所以我们这里采取的方式是nfs server端仅使用v4版本,禁止使用v3版本。但是,您还可以将 NFS 配置为只支持 NFS 版本 4.0 及更新的版本。这可最大限度地减少系统上打开的端口的数量运行的服务,因为 NFSv4 不需要。正常情况下NFS可以使用firewalld进行规避,但是由于k8s默认底层会调用iptables,这里就不采用firewalld方式了。
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 488
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
华为欧拉2204NFS系统漏洞修复
u011197085的博客
03-13 907
从你提供的文件内容来看,当前的NFS共享配置允许整个子网内的任何主机以读写(rw)模式挂载/data/data目录。rwsyncall_squash这样的配置为你的网络内的任何主机提供了相当宽松的访问权限,可能不是特别安全,特别是如果你只想让特定的几台服务器有权限访问此NFS共享。如果你希望仅限制特定的几台服务器(如你之前提到的四台服务器:192.168.112.21、192.168.112.22、192.168.112.23、192.168.112.24)访问/data/data,你需要将。
Linux NFS共享目录配置漏洞
m0_62670778的博客
05-11 1505
使用nmap扫描靶机的IP地址,可以看到靶机的2049端口开放,且使用了nfs服务。尝试查看靶机利用NFS共享的全部文件夹:看到结果是。接下来可以利用nfs漏洞实现远程ssh无密码登录。传输成功之后再次尝试使用ssh命令连接靶机。这表示将根目录下单全部文件都共享了。,其目的就是映射共享文件夹下的根目录。将靶机上的共享文件挂载到该文件上面。在攻击机上面创建一个根文件夹。命令查看所有的本地磁盘的信息。我们尝试用ssh服务连接上靶机。在挂载成功之后我们可以通过。
nfs
weixin_34217711的博客
03-07 86
参考 实测 服务端 centos7 192.168.1.129 安装软件 yum install nfs-utils portmap service rpcbind start、service nfs start centos6用 [root@localhost ~]# /etc/init.d/rpcbind start; /etc/init.d/nfs sta...
基于安全的访问控制-NFS服务的安全配置
lalalalala~~
12-01 2111
任务分析: 为了确保NFS服务器的安全运行,预防黑客通过外部网络直接访问到NFS服务器中的资料文件,需要通过设置只允许特定网段内的主机访问NFS文件共享服务器。 预备知识: NFS(Network File System)是FreeBSD支持的一种文件系统,它允许网络中的计算机之间通过TCP/IP网络共享资源。不正确的配置使用NFS,会带来安全问题。 概述 NFS的不安全性,主要体现于以下4个方面: 缺少访问控制机制 没有真正的用户验证机制,只针对RPC/Mount请求进行过...
openssh漏洞修复
Francis_G的博客
08-13 498
mount -t nfs 192.168.0.240:/application/share /application/share 硬盘共享挂载 linux 漏洞修复 tar xzvf openssh-8.1p1.tar.gz cd openssh-8.1p1 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl make&&make install ssh -V vim /etc/ssh/s
在任意主机上执行如下命令可查看指定nfs服务器输出目录列表(也称为共享目录列表
最新发布
09-20
在Unix或Linux系统中,要查看指定NFS(Network File System,网络文件系统)服务器输出目录列表,通常需要使用`mount`命令以及一些额外的信息,因为默认情况下,`mount`命令并不会显示远程NFS挂载点及其共享名称。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦想做运维工程师的小青年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值