NFS no fue diseñado pensando en la seguridad:
- Los datos se transmiten en claro
- Usa el UID/GID del usuario en el cliente para gestionar los permisos en el servidor:
- El usuario con UID n en el cliente obtiene permisos de acceso a los recursos del usuario con UID n en el servidor (aunque sean usuarios distintos)
- Un usuario con acceso a root en un cliente podría acceder a los ficheros de cualquier usuario en el servidor (no a los de root, si se usa la opción root_squash)
Precauciones básicas:
- Usar NFS sólo en Intranets seguras, donde los usuarios no tengan acceso de administrador en sus sistemas
- Evitar el acceso a NFS desde fuera de la Intranet
- Bloquear los puertos TCP/UDP 111 (portmap) y 2049 (nfs)
- Usar NFSv4 con Kerberos, que incluye autenticación de hosts y cifrado
- Usar versiones seguras de NFS (Secure NFS) u otros sistemas de ficheros (p.e. Self-certifying File System, SFS)
Ver NFS howto
y
http://www.cert.org/tech_tips/unix_configuration_guidelines.html#A13
Administración de Sistemas e Redes <ASR.USC[at]gmail.com>
Tomás Fernández Pena <tf.pena[at]usc.es>
Última actualización: 24-11-15 17:44 por tomas
Curso de Administración de Sistemas y Redes por Tomás Fernández Pena se distribuye bajo la licencia Creative Commons Recoñecemento-Compartir baixo a mesma licenza. 3.0 España.
Trabajo original en persoal.citius.usc.es/tf.pena/ASR.
