V tomto kurzu se zaměříme na základní síťové koncepty NFS, konkrétně na porty používané službami NFS. Jakmile porozumíme konkrétním portům a službám sdílené složky NFS, můžeme je použít ke konfiguraci bezpečnostních opatření, jako jsou brány firewall a řešení potíží.
Jak NFS funguje
V době psaní tohoto článku jsou podporovány tři verze NFS. NFS v2 je nejstarší a nejvíce podporovaný.
NFS v3 je novější než NFS V2 a nabízí více funkcí, jako je zpracování proměnné velikosti, vylepšené hlášení chyb atd. NFS v3 však není kompatibilní s klienty NFS v2.
Nejnovější verze NFS v4 poskytuje nové a vylepšené funkce. Zahrnují stavové operace, zpětnou kompatibilitu s NFS v2 a NFS v3, odstraněný požadavek na mapovač portů, interoperabilitu mezi platformami, lepší zpracování jmenného prostoru, integrované zabezpečení s ACL a Kerberos.
Následuje srovnání NFS v3 a NFS v 4.
| Vlastnosti | NFS v3 | NFS v4 |
| Transportní protokol | TCP a UDP | Pouze UDP |
| Vyřizování povolení | Unix | Windows |
| Metoda autentizace | Auth_Sys - Slabší | Kerberos (silný) |
| Osobnost | Bez státní příslušnosti | Statečný |
| Sémantika | Unix | Unix a Windows |
Výše uvedená tabulka ukazuje některé funkce protokolu NFS 4 vs. protokolu NFS 3. Pokud se chcete dozvědět více, zvažte níže uvedený oficiální dokument:
https://datatracker.ietf.org/doc/html/rfc3530
NFS v4 nepoužívá mapovač portů a služby požadované NFS V2 a V3 nejsou vyžadovány. V NFS v4 je proto vyžadován pouze port 2049.
NFS v2 a v2 však vyžadují další porty a služby, o kterých budeme v tomto tutoriálu diskutovat.
Požadované služby (NFS v2 a V3)
Jak již bylo zmíněno, NFS v2 a v3 používají službu portmap. Služba portmap v systému Linux zpracovává vzdálená volání procedur, která NFS (v2 a v3) používá ke kódování a dekódování požadavků mezi klientem a servery.
K implementaci sdílení NFS jsou vyžadovány následující služby. Mějte na paměti, že toto je pouze pro NFS v2 a v3.
- Portmapper
- Mountd
- Nfsd
- Lockd
- Statd
#: Portmapper
Ke spuštění NFS na straně klienta i serveru je vyžadována služba Portmapper. Běží na portu 111 pro protokoly TCP i UDP.
Pokud implementujete bránu firewall, ujistěte se, že je tento port povolen pro příchozí a odchozí pakety.
#: Mountd
Další službou potřebnou ke spuštění NFS je démon mountd. Tato služba běží na serveru NFS a slouží ke zpracování požadavků na připojení od klientů NFS. Je to hlavně zpracováno službou nfsd a nevyžaduje konfiguraci uživatele.
Můžete však upravit konfiguraci a nastavit statický port v souboru/etc/sysconfig/nfs. Vyhledejte / a nastavte:
MOUNTD_PORT=[přístav]#: NFSD
Toto je démon NFS, který běží na serverech NFS. Toto je klíčová služba, která spolupracuje s jádrem Linuxu a poskytuje funkce jako vlákna serveru pro všechny klienty připojené k serveru.
Ve výchozím nastavení je démon NFS již nakonfigurován pro spuštění statického portu 2049. Tento port je platný pro protokoly TCP i UDP.
#: Lockd & Statd
Démon NFS Lock Manager (lockd) a Status Manager daemon (statd) jsou další služby vyžadované pro spuštění NFS. Tito démoni běží na straně serveru a klienta.
Démon lockd umožňuje klientům NFS zamykat soubory na serveru NFS.
Na druhou stranu je démon statd zodpovědný za upozornění uživatelů na restartování serveru NFS bez elegantního vypnutí. Implementuje protokol RPC sledování stavu sítě.
Přestože obě tyto služby spouští služba nfslock automaticky, můžete je nakonfigurovat tak, aby provozovaly statický port, což může být užitečné v konfiguracích brány firewall.
Nastavte statický port pro démony statd a lockd, upravte soubor/etc/sysconfig/nfs a zadejte následující položky.
STATD_PORT=[přístav]LOCKD_TCPPORT=[přístav]
LOCKD_UDPPORT=[přístav]
Rychlá rekapitulace
Pojďme se podívat na rychlou rekapitulaci toho, co jsme právě probrali.
Pokud používáte NFS v4, stačí povolit port 2049. Pokud však používáte NFS v2 nebo v3, musíte upravit soubor/etc/sysconfig/nfs a přidat porty pro následující služby.
- Mountd - MOUNTD_PORT = port
- Statd - STATD_PORT = port
- LOCKD - LOCKD_TCPPORT = port, LOCKD_UDPPORT = port
Nakonec musíte zajistit, aby démon NFSD běžel na portu 2049 a mapovač portů na portu 111
POZNÁMKA: Pokud soubor/etc/sysconfig/nfs neexistuje, vytvořte jej a přidejte položky uvedené v tutoriálu.
Pokud se služba NFS nespustí správně, můžete také zkontrolovat zprávy/var/log/. Zajistěte, aby zadané porty nebyly používány.
Příklad konfigurace
Následuje nastavení konfigurace serveru NFS na serveru CentOS 8.
Jakmile upravíte konfiguraci a přidáte potřebné porty, jak je popsáno v tomto kurzu, restartujte službu jako:
sudosystemctl start nfs-server.serviceDále potvrďte, že je služba spuštěna pomocí příkazu:
sudosystemctl status nfs-server.service 
Nakonec potvrďte spuštěné porty pomocí rpcinfo, jak ukazuje následující příkaz:
sudorpcinfo-p 
Závěr
Tento tutoriál pojednal o síťových základech protokolu NFS a portech a službách požadovaných pro NFS v2, v3 a v4.
Děkujeme za přečtení a buďte hrdým geekem!