Атаки из сетиСлужба NFS: к чему приводят недостатки настройки

Август 13, 2010 → 11 Comments


Служба NFS используется для монтирования файловых систем с удаленных компьютеров в локальные каталоги. При правильном управлении доступом ведется строгий контроль за всеми экспортируемыми файловыми системами, и поэтому вероятность раскрытия конфиденциаль­ной информации будет минимальна. Но если параметры экспортирования выбраны неверно, то компьютер будет открыт для атак с любой внешней машины.

С точки зрения безопасности, экспортировать файловые системы за пре­делы собственной организации очень рискованно. При правильной на­стройке NFS позволяет жестко контролировать все операции экспорта файловых систем в пределах локальной сети, однако внешнее обращение к NFS, а также и к другим RPC-службам должно быть заблокировано с по­мощью брандмауэра.

Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Ниже приведен формат строк этого файла.

<каталог>     <параметры>[<дополнительные параметры>]

Параметры позволяют задать список компьютеров, которым разрешено монтирование фай­ловой системы, указывают права доступа к файловой системе (только чтение или чтение–запись) и возможность удаленного пользователя работать с правами root по отношению к файловой системе.

Наихудший вариант конфигурации файла etc/exports может выглядеть следующим образом.

/ rw

В данном случае корневая файловая система экспортируется всем компьютерам и сетям с правами чтения–записи. Выполнив команду mount на удаленном компьютере, любой пользо­ватель сможет смонтировать корневую файловую систему, то есть сможет просмотреть или мо­дифицировать любой файл на данной локальной машине. Формат команды mount.

system# mount <хост>:<файловая система> <локальный каталог>

Меры противодействия неверной конфигурации службы NFS

Чтобы защитить собственные файловые системы от несанкционированного доступа извне, взаимодействие со службой NFS должно быть заблокировано с помощью брандмауэра. Для этого требуется запретить обращение извне к порту 2049. По возможности лучше вообще не запускать службу NFS. Отключить ее можно с помощью редактирования файлов /etc/rc#.d.

Если служба NFS должна работать постоянно, то убедитесь, что экспортируются только не­обходимые файловые системы. Например, для монтирования начальных каталогов удаленны­ми пользователями экспортируйте только каталог /home вместо корневого каталога /. Про­верьте правильность конфигурации службы NFS, изучив файл/etc/exports, и еще раз убе­дитесь, что ни одна файловая система не экспортируется всем пользователям Internet с правами чтения–записи.



Если Вам понравилась эта статья,
!

Comments

Newer Comments
  • http://bakemono.ru/ Ruslan

    Эх помню были у меня в универе лабы по нфс, эх парились мы там норм!

  • Игорь

    Ага у меня тоже самое было, не могли с товарищем додуматься.

  • http://divanov.ru Александр

    Интересная информация, но достаточно сложная для новичка.

  • http://zoneportal.ru/ Innushka

    Ох и муторное это все дело, столкнулась один раз, так чуть мозг не вскипел.

  • Дмитрий

    Как начал работать в сети, всегда завидую тем, кто изучал программирование, администрирование и т.д. профессионально. Самоучкам приходится гораздо труднее.

  • http://altlist.ru/ Edelweiss

    Да нужно попотеть с нфс, по личному опыту знаю!

  • segodnya

    Я конечно понимаю, что необходимо серьезно подходить к этому вопросу и настраивать систему, но я считаю, что все равно все не закроешь

  • rezident

    Че там париться, серьезно отнеситесь и nfs покажется элементарной вещью!

  • http://www.zarabotokest.ru/ Dezm

    Для кого и парится не нужно, особенно тем кто все время работает с этой системой, но для меня это темнеющий лес…..

  • Максим

    Эта игра только кажется тяжелой а на самом деле она легкая я уже ее прошол 17 раз =)

Newer Comments