NFS网络文件共享配置

设置和配置NFS（网络文件系统）共享文件可以让不同的计算机在同一个网络中共享文件和目录。下面是如何在Linux系统上设置NFS服务器和客户端的基本步骤：

### NFS服务器配置

1. **安装NFS服务器软件**：
   - 在大多数Linux发行版上，你可以通过包管理器安装NFS服务。例如，在Debian/Ubuntu上：
     ```bash
     sudo apt update
     sudo apt install nfs-kernel-server
     ```

2. **创建要共享的目录**：
   - 假设你要共享的目录是`/srv/nfs/shared`：
     ```bash
     sudo mkdir -p /srv/nfs/shared
     ```

3. **配置共享目录**：
   - 编辑`/etc/exports`文件，添加要共享的目录和访问权限。例如：
     ```bash
     /srv/nfs/shared 192.168.1.0/24(rw,sync,no_subtree_check)

     ```

   - 这里的配置表示允许IP范围为192.168.1.0到192.168.1.255的客户端以读写权限访问`/srv/nfs/shared`目录。

示例：

 /srv/nfs/shared 192.168.1.0/24(sync,wdelay,hide,no_subtree_check,rw,secure,no_root_squash,no_all_squash)

• sync：在请求完成前，将数据同步写入磁盘，提高数据可靠性。
• wdelay：允许NFS服务器在执行写操作前稍作延迟，以便优化性能。
• hide：不导出隐藏文件或子目录。
• no_subtree_check：禁用子树检查，可以提高性能，特别是当导出的是一个完整的文件系统时。
• rw：读写权限。
• secure：仅允许来自小于1024的端口的请求，这通常意味着请求来自“可信”的客户端。
• no_root_squash：允许NFS客户端的root用户拥有root权限。这提升了权限，但降低了安全性。
• no_all_squash：保留客户端用户的身份，而不是将所有用户都映射到匿名用户。

4. **应用配置**：
   - 执行以下命令来应用NFS配置：
     ```
     sudo exportfs -ra
     ```

5. **启动NFS服务**：
   - 启动并启用NFS服务以便开机自动启动：

     ```

     sudo systemctl start rpcbind

     sudo systemctl enable rpcbind

     sudo systemctl start nfs-server
     sudo systemctl enable nfs-server

# 如果使用NFSv4，确保idmapd服务运行
sudo systemctl start rpc-statd
sudo systemctl enable rpc-statd
     ```

### NFS客户端配置

1. **安装NFS客户端软件**：
   - 在客户端机器上，安装NFS客户端工具。例如，在Debian/Ubuntu上：
     ```bash
     sudo apt update
     sudo apt install nfs-common
     ```

2. **创建挂载点**：
   - 创建一个目录来挂载NFS共享，例如`/mnt/nfs/shared`：
     ```bash
     sudo mkdir -p /mnt/nfs/shared
     ```

3. **挂载NFS共享**：
   - 使用以下命令挂载NFS共享：
     ```bash
     sudo mount 192.168.1.xxx:/srv/nfs/shared /mnt/nfs/shared
     ```
   - 这里`192.168.1.xxx`是NFS服务器的IP地址。

4. **自动挂载（可选）**：
   - 如果希望系统重启后自动挂载NFS共享，可以编辑`/etc/fstab`文件，添加以下行：
     ```
     192.168.1.xxx:/srv/nfs/shared /mnt/nfs/shared nfs,_netdev defaults 0 0

     ```

• _netdev：用于指示此挂载依赖于网络设备，应在网络设备可用后挂载。
• defaults：使用挂载的默认选项。
• 0 0：分别用于dump和fsck的设置，通常可以设置为0。

### 重要提示

- **安全性**：NFS并不加密传输的数据，因此建议在安全的内部网络中使用。要在不安全的网络中使用NFS，考虑通过VPN或SSH隧道加密连接。
  
- **防火墙配置**：确保防火墙允许NFS流量。NFS通常使用2049端口。

• 2049：NFS服务端口。
• 111：rpcbind端口。
• 其他可能使用的动态端口（如锁定服务和状态监控服务）。

使用firewalld时，可以这样配置：
sudo firewall-cmd --permanent --add-service=nfs
sudo firewall-cmd --permanent --add-service=rpc-bind
sudo firewall-cmd --permanent --add-service=mountd
sudo firewall-cmd --reload

- **权限管理**：确保共享目录具有合适的文件和目录权限，以便NFS客户端可以访问和修改文件。

在NFS系统中，权限管理是确保数据安全和访问控制的重要部分。

以下是一些管理NFS权限的关键方法和最佳实践：

### 1. 在服务器上设置权限

- **文件和目录权限**：
  - 使用`chmod`命令设置文件和目录的权限。
  - 使用`chown`命令设置文件和目录的所有者和组。
  - 例如：
    ```bash
    sudo chown -R user:group /path/to/directory
    sudo chmod -R 755 /path/to/directory
    ```

- **用户和组管理**：
  - 确保NFS服务器和客户端上的用户和组ID（UID和GID）一致，以便正确地解析权限。

### 2. NFS导出选项

- **`rw`和`ro`**：
  - `rw`：允许读写访问。
  - `ro`：仅允许只读访问。

- **`root_squash`**：
  - 将NFS客户端的root用户映射为匿名用户，以防止客户端root用户拥有过高权限。
  - 默认开启，推荐在大多数场合使用。

- **`all_squash`**：
  - 将所有用户映射为匿名用户。这在需要严格控制访问的环境中很有用。

- **`anonuid`和`anongid`**：
  - 设置匿名用户和组的ID，以进一步控制匿名用户的权限。

### 3. 使用ACL进行细粒度控制

- **设置ACL**：
  - ACL（访问控制列表）允许更细粒度的权限控制。
  - 使用`setfacl`命令设置ACL，`getfacl`命令查看ACL。
  - 例如，设置用户对某文件的读写权限：
    ```bash
    setfacl -m u:username:rw /path/to/file
    ```

### 4. 网络安全

- **仅限特定IP或子网访问**：
  - 在`/etc/exports`中限制访问权限，例如：`192.168.1.0/24`。

- **使用防火墙**：
  - 配置防火墙来限制访问，仅允许可信任的IP地址访问NFS服务。

### 5. 日志监控

- **日志文件**：
  - 定期检查NFS相关日志以发现并处理潜在的安全问题。
  - 日志通常记录在`/var/log/syslog`或`/var/log/messages`中。

### 6. 定期审计

- **权限审计**：
  - 定期检查文件和目录的权限设置。
  - 确保用户和组的ID一致性并审计其访问记录。

通过综合以上方法，可以有效管理NFS权限，确保数据的安全和访问控制。根据具体需求和安全策略，选择合适的权限管理策略。

通过这些步骤，你应该能够在Linux系统上成功设置和使用NFS共享。