对于NFS的配置而言,在一家公司内部,不管是VPC还是C段之间,理论上都是做隔离的。因此,上述的这个漏洞一般而言仅在C段内部生效。
漏洞的原理:
在网络互通的情况下,网络内的其他主机可以通过showmount -e方式,查看到其他主机NFS共享目录结构信息。比如showmount -e 10.10.10.10 。
NFS的权限控制:
- NFS的挂载权限配置在/etc/exports中配置
- 查看挂载目录的权限控制在/etc/hosts.allow /etc/hosts.deny中配置
解决这个漏洞时,建议将两者保持一致。
举例:
# /etc/exports配置如下:
/data/nfs 10.10.10.0/24(rw,no_root_squash,no_all_squash,sync)
# /etc/hosts.deny
mountd: all #cent7.0设置方式
Portmap:ALL:deny #cent6.0设置方式
rpcbind: ALL : deny #cent5.0设置方式
# /etc/hosts.allow
mountd: 10.10.10.0/24 #cent7.0设置方式
Portmap:10.10.10.0/24:allow #cent6.0设置方式
rpcbind:10.10.10.0/24:allow #cent5.0设置方式
其实当其他主机不需要远程查看某台主机的挂载情况是,直接在/etc/hosts.deny将mountd: all 写上,不开白名单也是可以的。一般而言,没人一天到晚通过showmount -e去查其他机器的目录情况。自己有几台NFS心里面应该很清楚。
本站点维护了一个每日更新的华语youtuber的排行榜,欢迎点击收藏: