13/08/10 11 6824 Атаки из сети

Служба NFS: к чему приводят недостатки настройки

Служба NFS используется для монтирования файловых систем с удаленных компьютеров в локальные каталоги. При правильном управлении доступом ведется строгий контроль за всеми экспортируемыми файловыми системами, и поэтому вероятность раскрытия конфиденциальной информации будет минимальна. Но если параметры экспортирования выбраны неверно, то компьютер будет открыт для атак с любой внешней машины.

С точки зрения безопасности, экспортировать файловые системы за пределы собственной организации очень рискованно. При правильной настройке NFS позволяет жестко контролировать все операции экспорта файловых систем в пределах локальной сети, однако внешнее обращение к NFS, а также и к другим RPC-службам должно быть заблокировано с помощью брандмауэра.

Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Ниже приведен формат строк этого файла.

<каталог> <параметры>[<дополнительные параметры>]

Параметры позволяют задать список компьютеров, которым разрешено монтирование файловой системы, указывают права доступа к файловой системе (только чтение или чтение–запись) и возможность удаленного пользователя работать с правами root по отношению к файловой системе.

Наихудший вариант конфигурации файла etc/exports может выглядеть следующим образом.

/ rw

В данном случае корневая файловая система экспортируется всем компьютерам и сетям с правами чтения–записи. Выполнив команду mount на удаленном компьютере, любой пользователь сможет смонтировать корневую файловую систему, то есть сможет просмотреть или модифицировать любой файл на данной локальной машине. Формат команды mount.

system# mount <хост>:<файловая система> <локальный каталог>

Меры противодействия неверной конфигурации службы NFS

Чтобы защитить собственные файловые системы от несанкционированного доступа извне, взаимодействие со службой NFS должно быть заблокировано с помощью брандмауэра. Для этого требуется запретить обращение извне к порту 2049. По возможности лучше вообще не запускать службу NFS. Отключить ее можно с помощью редактирования файлов /etc/rc#.d.

Если служба NFS должна работать постоянно, то убедитесь, что экспортируются только необходимые файловые системы. Например, для монтирования начальных каталогов удаленными пользователями экспортируйте только каталог /home вместо корневого каталога /. Проверьте правильность конфигурации службы NFS, изучив файл/etc/exports, и еще раз убедитесь, что ни одна файловая система не экспортируется всем пользователям Internet с правами чтения–записи.

Читать еще...

Characteristics of laser beam polarisation PRI - Как стать полиграфологом?Какие бывают офисные кресла Что такое фронтенд и бэкенд разработка веб-приложений Какой ноутбук купить?Как выбрать шуруповерт Bosch