• Категории
  • Подписка
  • Разместить статью
13/08/10 11 3632 Атаки из сети
-

Служба NFS: к чему приводят недостатки настройки

Служба NFS используется для монтирования файловых систем с удаленных компьютеров в локальные каталоги. При правильном управлении доступом ведется строгий контроль за всеми экспортируемыми файловыми системами, и поэтому вероятность раскрытия конфиденциаль­ной информации будет минимальна. Но если параметры экспортирования выбраны неверно, то компьютер будет открыт для атак с любой внешней машины.

С точки зрения безопасности, экспортировать файловые системы за пре­делы собственной организации очень рискованно. При правильной на­стройке NFS позволяет жестко контролировать все операции экспорта файловых систем в пределах локальной сети, однако внешнее обращение к NFS, а также и к другим RPC-службам должно быть заблокировано с по­мощью брандмауэра.

Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Ниже приведен формат строк этого файла.

<каталог>     <параметры>[<дополнительные параметры>]

Параметры позволяют задать список компьютеров, которым разрешено монтирование фай­ловой системы, указывают права доступа к файловой системе (только чтение или чтение–запись) и возможность удаленного пользователя работать с правами root по отношению к файловой системе.

Наихудший вариант конфигурации файла etc/exports может выглядеть следующим образом.

/ rw

В данном случае корневая файловая система экспортируется всем компьютерам и сетям с правами чтения–записи. Выполнив команду mount на удаленном компьютере, любой пользо­ватель сможет смонтировать корневую файловую систему, то есть сможет просмотреть или мо­дифицировать любой файл на данной локальной машине. Формат команды mount.

system# mount <хост>:<файловая система> <локальный каталог>

Меры противодействия неверной конфигурации службы NFS

Чтобы защитить собственные файловые системы от несанкционированного доступа извне, взаимодействие со службой NFS должно быть заблокировано с помощью брандмауэра. Для этого требуется запретить обращение извне к порту 2049. По возможности лучше вообще не запускать службу NFS. Отключить ее можно с помощью редактирования файлов /etc/rc#.d.

Если служба NFS должна работать постоянно, то убедитесь, что экспортируются только не­обходимые файловые системы. Например, для монтирования начальных каталогов удаленны­ми пользователями экспортируйте только каталог /home вместо корневого каталога /. Про­верьте правильность конфигурации службы NFS, изучив файл/etc/exports, и еще раз убе­дитесь, что ни одна файловая система не экспортируется всем пользователям Internet с правами чтения–записи.


11 комментариев на «“Служба NFS: к чему приводят недостатки настройки”»

Добавить комментарий

Яндекс.Метрика