◆劉仁維

(蘭州職業(yè)技術(shù)學(xué)院 甘肅 730070)

網(wǎng)絡(luò)文件系統(tǒng)（NFS）配置及安全性

◆劉仁維

(蘭州職業(yè)技術(shù)學(xué)院 甘肅 730070)

網(wǎng)絡(luò)文件系統(tǒng)（NFS）是網(wǎng)絡(luò)中主機(jī)之間共享數(shù)據(jù)的協(xié)議，性能高，配置靈活，但是業(yè)界認(rèn)為，NFS協(xié)議不夠安全，本文提出了NFS v4安全性加固的方法，評(píng)估了NFS v4的安全性。

網(wǎng)絡(luò)安全；NFS協(xié)議；安全配置；安全評(píng)估

0 引言

網(wǎng)絡(luò)文件系統(tǒng)（NFS：Network File System）是一種在網(wǎng)絡(luò)中主機(jī)之間共享數(shù)據(jù)的技術(shù)。在客戶端完成的工作數(shù)據(jù)，可以保存到NFS服務(wù)器上用戶的路徑下，可用于局域網(wǎng)、廣域網(wǎng)、容災(zāi)備份、云存儲(chǔ)和云計(jì)算中[1]，與操作系統(tǒng)和硬件無關(guān)，在類 UNIX系統(tǒng)之間應(yīng)用廣泛。

1 NFS概述

1.1 版本

NFS v1由SUN公司研發(fā)，包含在SUN操作系統(tǒng)里；NFS v2是最原始的NFS協(xié)議，由RFC1094描述， UDP傳輸；NFS v3在RFC1813中描述，增加了TCP協(xié)議的相關(guān)支持，安全異步，服務(wù)端ACL；NFS v4在RFC3010，RFC3530，RFC7530中描述，要求所有實(shí)現(xiàn)都必須支持 kerberos的身份驗(yàn)證；RFC5661描述NFS v4.1，開始支持pNFS（parallel NFS：并行網(wǎng)絡(luò)文件系統(tǒng)），RFC7862描述NFS v4.2。本文討論目前常用的NFS v4安全性。

1.2 功能及機(jī)制

NFS v4在操作系統(tǒng)內(nèi)核級(jí)別上實(shí)現(xiàn)文件共享，由客戶端操作系統(tǒng)代表客戶端用戶進(jìn)程調(diào)用。NFS服務(wù)器可以看作是文件服務(wù)器，客戶端通過網(wǎng)絡(luò)將NFS服務(wù)器的檔案掛載到自己的系統(tǒng)中，在客戶看來使用NFS的遠(yuǎn)端文件就像是在使用本地文件一樣，能夠訪問一個(gè)本地文件的客戶端程序不需要做任何修改，就能夠訪問一個(gè)NFS文件。訪問的是本地文件還是NFS文件對(duì)于客戶端來說是透明的，當(dāng)文件被打開時(shí)，內(nèi)核將本地文件的引用傳遞給本地文件訪問系統(tǒng)，而將一個(gè)NFS文件的引用傳遞給NFS服務(wù)器。

NFS基于 XDR和 RPC的協(xié)議。XDR（eXternal Data Representation：外部數(shù)據(jù)表示法）把數(shù)據(jù)從一種格式轉(zhuǎn)換成另一種標(biāo)準(zhǔn)數(shù)據(jù)格式表示法，確保在不同的計(jì)算機(jī)、操作系統(tǒng)及程序語言中，所有數(shù)據(jù)代表的意義都是相同的。RPC（Remote Procedure Call：遠(yuǎn)程程序調(diào)用）請(qǐng)求遠(yuǎn)程計(jì)算機(jī)給予服務(wù)。NFS服務(wù)過程如下：

（2）服務(wù)器端找到對(duì)應(yīng)的已注冊(cè)的NFS守護(hù)端口后會(huì)回報(bào)給客戶端。由于NFS的各項(xiàng)功能都必須要向RPC注冊(cè)，因此RPC了解NFS服務(wù)的各項(xiàng)功能的端口、進(jìn)程號(hào)和NFS在主機(jī)所監(jiān)聽的地址等，而客戶端才能夠通過 RPC的詢問找到正確對(duì)應(yīng)的端口。

（3）客戶端了解正確的端口后，就可以直接與NFS守護(hù)進(jìn)程來聯(lián)機(jī)。

NFS v4引入了復(fù)合過程（將多個(gè)RPC組合到一個(gè)調(diào)用中）的思想，客戶機(jī)可以將 lookup、open和read操作組合到一個(gè)RPC請(qǐng)求中，這樣客戶機(jī)只需一次請(qǐng)求就可以從文件中讀取數(shù)據(jù)，文件系統(tǒng)操作需要更少的RPC，從而使 NFS響應(yīng)速度更快[2]。

1.3 NFS與其它同類協(xié)議的比較

NFS 比 CIFS（Common Internet File System），F(xiàn)TP（File Transfer Protocol），SMB（Service Message Block）等功能相似協(xié)議更容易配置，在學(xué)校、企事業(yè)單位和網(wǎng)吧應(yīng)用很廣，在局域網(wǎng)中看高清視頻流暢。

2 NFS v4的安全配置

為了充分發(fā)揮NFS v4 的安全性能，必須精確完成以下安全配置（基于Linux操作系統(tǒng)）：

2.1 安全登錄配置

（1）使用Kerberos v5作為登錄驗(yàn)證系統(tǒng)， 使用DES加密RPC請(qǐng)求中的時(shí)間戳記來減少攻擊者欺騙 RPC 請(qǐng)求的嘗試。

（2）如果使用UID/GID身份驗(yàn)證，請(qǐng)勿允許NFS客戶機(jī)使用 root用戶憑證訪問文件系統(tǒng)。不要使用no_root_squash，盡量使用root_squash 或all_squash，這樣客戶端的任何用戶在服務(wù)器端只有nobody權(quán)限，可以防止客戶端冒名服務(wù)端UID和GID獲得相當(dāng)于NFS服務(wù)器上的同名同組操作權(quán)限，也可使用anonuid，anongid選項(xiàng)壓縮客戶權(quán)限到指定用戶或組權(quán)限。

2.2 系統(tǒng)安全配置

（1）盡量將其置于防火墻之后，結(jié)合TCP_Wrappers來限制RPC服務(wù)。

由于臺(tái)灣海峽冬季風(fēng)浪較大，開航前嚴(yán)格執(zhí)行裝卸貨作業(yè)的相關(guān)規(guī)定，大副應(yīng)根據(jù)船長(zhǎng)提供航次生產(chǎn)任務(wù)和裝貨清單結(jié)合本船干舷，穩(wěn)性資料及船舶強(qiáng)度，編制《貨物配載圖》。裝貨期間，根據(jù)船舶穩(wěn)性和強(qiáng)度盡量達(dá)到配載均勻，保持船舶正浮，由于高速船高速航行時(shí)，船頭吃水變小，所以在配載時(shí)盡量保持較小吃水差。大副將本航次的配載計(jì)劃、裝(卸)要求及注意事項(xiàng)等與裝卸的工頭進(jìn)行溝通；嚴(yán)格安裝配載圖進(jìn)行裝卸貨作業(yè)，防止因貨物作業(yè)不善而導(dǎo)致船舶強(qiáng)度和穩(wěn)性受到影響。

（2）確保已安裝了最新的軟件補(bǔ)丁，特別是安全性相關(guān)的補(bǔ)丁，如#1095935 補(bǔ)丁可以防止UID欺騙。

（3）為了防止可能的Dos攻擊，需要合理設(shè)定nfsd的copy數(shù)目（默認(rèn)是8）。

2.3 導(dǎo)出目錄和文件配置

（1）使用nosuid和noexec選項(xiàng)禁止有suid特性的程序執(zhí)行，不要export可執(zhí)行特性。

（2）對(duì)有權(quán)限訪問文件系統(tǒng)的用戶明確地導(dǎo)出文件系統(tǒng)。合理的設(shè)定/etc/exports共享出去的目錄，明確設(shè)置 rw=host的選項(xiàng)，ro(只讀)的選項(xiàng)和access=host的選項(xiàng)，不要export home目錄。

特別注意配置文件語法，一個(gè)多余的空格，一個(gè)錯(cuò)誤的換行可能使權(quán)限與預(yù)期完全相反。

3 NFS v4的安全機(jī)制與安全性評(píng)估

3.1 NFS v4的主要安全機(jī)制

（1）使用TCP作為傳輸層，開發(fā)了新的ACL控制機(jī)制，對(duì)WAN環(huán)境部署做出改進(jìn)并提出分布式文件系統(tǒng)方案，自身集成輔助協(xié)議，只需要TCP 2049一個(gè)端口即可，這樣極大方便NFS在防火墻后環(huán)境中部署。

（2）NFS v4要求所有實(shí)現(xiàn)都必須支持kerberos的身份驗(yàn)證，Kerberos 5在 RPCSEC_GSS（RPC security protocol_the Generic Security Service：基于一般安全性服務(wù)的RPC安全協(xié)議）安全機(jī)制之下提供，RPCSEC-GSS基于GSS-API，可以通過配置來使用RPCSEC-GSS方式替代基于UID/GID的身份驗(yàn)證，從而提高協(xié)議的安全性，這種安全機(jī)制還可以提供可選擇的、多重的數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)的完整性和機(jī)密性，NFS v4由客戶機(jī)和服務(wù)器來協(xié)商身份驗(yàn)證的方式和數(shù)據(jù)保護(hù)的級(jí)別[3]。

（3）NFS v4是“有狀態(tài)”（stateful）的協(xié)議，每個(gè)文件打開操作、文件加鎖功能和獲取文件系統(tǒng)根節(jié)點(diǎn)功能以及相當(dāng)多的RPC 調(diào)用都被轉(zhuǎn)換成了內(nèi)核層的文件系統(tǒng)操作，消除了可能的攻擊，提高了安全性。

3.2 NFS v4的安全不足

（1）NFS v4安全配置靈活但過于瑣碎，配置項(xiàng)達(dá)到幾十項(xiàng)，配置語法及選項(xiàng)很容易出現(xiàn)錯(cuò)誤，如果用戶分組較多且權(quán)限錯(cuò)綜復(fù)雜，控制目標(biāo)的權(quán)限精確性難以實(shí)現(xiàn)，對(duì)訪問控制機(jī)制難于做到得心應(yīng)手。

（2）NFS的實(shí)現(xiàn)依賴于 RPC遠(yuǎn)程過程調(diào)用協(xié)議，NTP(Network Time Protocol) 網(wǎng)絡(luò)時(shí)間協(xié)議，Kerberos網(wǎng)絡(luò)認(rèn)證協(xié)議等協(xié)議。RPC是黑客攻擊的首選途徑；NTP有惡意重放、篡改數(shù)據(jù)包、放大攻擊和假扮合法服務(wù)器的漏洞和相應(yīng)攻擊方法；Kerberos 5存在竊聽、重放、篡改和拒絕服務(wù)的漏洞，如CVE-2014-4342，就是MIT Kerberos 5 (krb5) 1.7.x - 1.12.x上，存在的遠(yuǎn)程攻擊者通過將無效的令牌注入到GSS-API應(yīng)用會(huì)話內(nèi)，造成緩沖區(qū)溢出或空指針間接引用，從而導(dǎo)致應(yīng)用崩潰的漏洞[4]，Kerberos 5所基于的DES，加密強(qiáng)度不足（在RFC 6649中將采用AES）。

3.3 NFS v4的安全性評(píng)估

NFS的安全性是由其本身和所依賴的協(xié)議共同構(gòu)成的協(xié)議簇的安全性。由于本身安全問題，再加上所依賴的協(xié)議潛在的安全問題，NFS無法達(dá)到理想的安全要求，其綜合安全性的不足使其不適合高安全要求的場(chǎng)合。

4 結(jié)束語

任何網(wǎng)絡(luò)服務(wù)器都會(huì)有安全問題，NFS服務(wù)器也不例外。由于設(shè)計(jì)方面的因素，NFS服務(wù)器做不到絕對(duì)安全。對(duì)NFS v4，只要正確配置，能滿足大部分場(chǎng)合的安全需求。

[1]何文婷,劉健,袁慶升.支持 Hadoop大數(shù)據(jù)訪問的 pNFS框架研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2016.

[2]D.Noveck.NFS version 4protocol[EB/OL]. https://www.rfc-editor.org/rfc/pdfrfc/rfc3010.txt.pdf.

[3]劉麗霞,邱曉華. Linux服務(wù)范例速查大全[M].北京:清華大學(xué)出版社，2016.

[4]CVE.CVE-2014-4342[EB/OL].http://cve.mitre. org/cgi-bin/cvename.cgi?name=CVE-2014-4342.