NFS服务固定端口和安全加固——筑梦之路

NFS服务固定端口设置,主要是为了开通防火墙策略,比如网闸
这里介绍常规的和非常规两种方式的配置

1.常规配置
vim /etc/sysconfig/nfs
RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

固定的端口为30001-30004

vim /etc/modprobe.d/lockd.conf
options lockd nlm_tcpport=30002
options lockd nlm_udpport=30002

服务重启生效:
systemctl restart nfs-config
systemctl restart nfs-idmap
systemctl restart nfs-lock
systemctl restart nfs-server

2.非常规,主要是指没有配置文件/etc/sysconfig/nfs
vim /etc/services
rquotad 30001/tcp
rquotad 30001/tcp
lockd 30002/tcp
lockd 30002/udp
mountd 30003/tcp
mountd 30003/udp
statd 30004/tcp
statd 30004/udp

其中mountd 和rquotad需要注释掉原来的文件中的端口

#检查验证
netstat -anlp | grep -E 'tcp|udp'

若还有没修改的端口则修改下面的文件
vim /etc/nfs.conf
[statd]
port = 30004

[lockd]
port = 30002

#重启服务
systemctl restart nfs-config
systemctl restart nfs-idmap
systemctl restart nfs-lock
systemctl restart nfs-server


此处主要做个记录

 

------------------------------------------------------______________________________________

安全加固

思路:通过系统白名单和nfs配置来进行加固

1.修改nfs配置
cat /etc/exports

data 192.168.47.0/255.255.255.0(rw,sync,no_root_squash)

此处表示允许192.168.47.0/24这个网段访问,其他不允许访问

#重载配置
exportfs -avr

2.添加访问白名单和黑名单

cat /etc/hosts.allow

mountd:192.168.47.
rpcbind:192.168.47.:allow
portmap:192.168.47.
lockd:192.168.47.
rquotad:192.168.47.
statd:192.168.47.
#本机
portmap:127.0.0.1
lockd:1127.0.0.1
rquotad:127.0.0.1
statd:127.0.0.1
mountd:127.0.0.1
rpcbind:127.0.0.1:allow


192.168.47. 表示此网段可访问

cat /etc/hosts.deny

mountd:ALL
rpcbind:ALL:deny
statd:ALL
portmap:ALL
lockd:ALL
rquotad:ALL


3.验证

192.168.47网段机器访问:

rpcinfo server-ip

showmount -e server-ip

192.168.10网段机器访问:
rpcinfo server-ip

showmount -e server-ip

此处获取不到nfs的信息,也不能挂载即成功加固

_________________________________________________________________________________________

 

显示防火墙规则

firewall-cmd --list-all

防火墙加载nfs服务端口

firewall-cmd --permanent --add-service=nfs

重新加载防火墙规则

firewall-cmd --reload

 

posted on 2022-11-18 20:57  韩山隐士  阅读(774)  评论(0编辑  收藏  举报