NFS目标主机showmount -e信息泄露(CEE-1999-0554)配置解决思路

对于NFS的配置而言,在一家公司内部,不管是VPC还是C段之间,理论上都是做隔离的。因此,上述的这个漏洞一般而言仅在C段内部生效。

漏洞的原理:

在网络互通的情况下,网络内的其他主机可以通过showmount -e方式,查看到其他主机NFS共享目录结构信息。比如showmount -e 10.10.10.10 。

NFS的权限控制:

  • NFS的挂载权限配置在/etc/exports中配置

  • 查看挂载目录的权限控制在/etc/hosts.allow /etc/hosts.deny中配置

解决这个漏洞时,建议将两者保持一致。

举例:

# /etc/exports配置如下:
/data/nfs 10.10.10.0/24(rw,no_root_squash,no_all_squash,sync)


# /etc/hosts.deny
mountd:  all                       #cent7.0设置方式
Portmap:ALL:deny                   #cent6.0设置方式
rpcbind: ALL : deny                #cent5.0设置方式

# /etc/hosts.allow 
mountd:  10.10.10.0/24                       #cent7.0设置方式
Portmap:10.10.10.0/24:allow                  #cent6.0设置方式
rpcbind:10.10.10.0/24:allow                  #cent5.0设置方式

其实当其他主机不需要远程查看某台主机的挂载情况是,直接在/etc/hosts.deny将mountd: all 写上,不开白名单也是可以的。一般而言,没人一天到晚通过showmount -e去查其他机器的目录情况。自己有几台NFS心里面应该很清楚。