本文介绍: 1. 首先查看你的nfs配置cat /etc/exports然后你在同网段能与这台机子通信的其他机器执行showmounteXXXX(nfs服务端ip问题:当同网段其他服务器执行 showmounte XXXX(ip)时,同样会看到共享信息影响:NFS服务配置漏洞赋予了根目录远程可写权限,导致/root/.ssh/authorized_keys可被修改实现远程ssh密码登录。4、Centos6的NFS服务叫做rpcbind,而Centos5的NFS服务por..

1. 首先查看你的nfs配置

cat /etc/exports

然后你在同网段能与这台机子通信的其他机器执行showmounte XXXX(nfs服务端ip

问题:当同网段其他服务器执行 showmount -e XXXX(ip)时,同样会看到共享信息

 影响:NFS服务配置漏洞赋予了根目录远程可写权限,导致/root/.ssh/authorized_keys可被修改实现远程ssh密码登录

4、Centos6的NFS服务叫做rpcbind,而Centos5的NFS服务portmap

第一种方式

1)vi /etc/hosts.allow

rpcbind: 192.168.56.4:allow

2)vi /etc/hosts.deny

rpcbind: ALL : deny

提示】无需重启rpc.bindnfs

3)测试结果

 

第二种方式采用iptables防火墙限制

1)修改nfs配置文件分配使用端口

xxx]# vi /etc/sysconfig/nfs

RQUOTAD_PORT=30001

LOCKD_TCPPORT=30002

LOCKD_UDPPORT=30002

MOUNTD_PORT=30003

STATD_PORT=30004

2)重启nfs服务

1)/etc/init.d/rpcbind restart

2)/etc/init.d/nfs restart

3)允许客户端挂载主机ip地址

iptables -A INPUT –p tcp -s 192.168.85.15 –dport 111 -j ACCEPT

iptables -A INPUT –p udp -s 192.168.85.15 –dport 111 -j ACCEPT

iptables -A INPUT –p tcp -s 192.168.85.15 –dport 2049 -j ACCEPT

iptables -A INPUT –p udp -s 192.168.85.15 –dport 2049 -j ACCEPT

iptables -A INPUT –p tcp -s 192.168.85.15 –dport 30001:30004 -j ACCEPT

iptables -A INPUT –p udp -s 192.168.85.15 –dport 30001:30004 -j ACCEPT

4)其他客户端全部拒绝访问nfs服务

iptables -A INPUT –p tcp –dport 111 -j DROP

iptables -A INPUT -p udpdport 111 -j DROP

iptables -A INPUT -p tcpdport 2049 -j DROP

iptables -A INPUT -p udpdport 2049 -j DROP

iptables -A INPUT -p tcpdport 30001:30004 -j DROP

iptables -A INPUT -p udpdport 30001:30004 -j DROP

5)开机启动服务加载

vim /etc/profile.d/iptables-nfs.sh

#!/bin/bash

#允许客户端挂载主机的ip地址

iptables -A INPUT -p tcp -s 192.168.85.15 —dport 111 -j ACCEPT

iptables -A INPUT -p udp -s 192.168.85.15 —dport 111 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.85.15 —dport 2049 -j ACCEPT

iptables -A INPUT -p udp -s 192.168.85.15 —dport 2049 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.85.15 –dport 30001:30004 -j ACCEPT

iptables -A INPUT -p udp -s 192.168.85.15 –dport 30001:30004 -j ACCEPT

#其他客户端全部拒绝访问nfs服务

iptables -A INPUT -p tcp –dport 111 -j DROP

iptables -A INPUT -p udp –dport 111 -j DROP

iptables -A INPUT -p tcp –dport 2049 -j DROP

iptables -A INPUT -p udp –dport 2049 -j DROP

iptables -A INPUT -p tcp –dport 30001:30004 -j DROP

iptables -A INPUT -p udp –dport 30001:30004 -j DROP

6)测试结果

192.168.56.5 (NFS-server

防火墙规则显示

192.168.56.4

原文地址:https://blog.csdn.net/weixin_46516542/article/details/124279644

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_43450.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注