322.6 NFSv4
重要度 1
説明 NFSv4サービスの使用方法と設定上のセキュリティ問題について経験と知識があること。NFSv3以前のバージョンについての知識は必要ない。
主要な知識範囲
- NFSv4 の安全性を中心とした強化点、問題点、使用方法
- NFSv4を使用した疑似ファイルシステム
- NFSv4 のセキュリティメカニズム (LIPKEY, SPKM, Kerberos)
重要なファイル、用語、ユーティリティ
- NFSv4 ACLs
- nfs4acl
- RPCSEC_GSS
- /etc/exports
NFSv4
NFS(Network File System)は、RFC 1094、RFC 1813、RFC 3530などによって定義され、UNIXで利用される分散ファイルシステムおよびそのプロトコルである。
1984年にサン・マイクロシステムズによって実質的な最初の規格となるNFS version 2 (NFS v2) が発表された。
NFSv4は、NFSのバージョン4でカーネル2.6から導入されています、以下の特徴はあります
- セキュリティタイプには、LIPKEY、SPKM、Kerberosなどがある
- Pesudoファイルシステムが利用できる
- ACL導入によるセキュリティ強化
- LinuxのPOSIXアカウントとは別のアカウントで接続できる
nfs4acl
nfs4aclは、NFSv4のACL設定や解除に利用するコマンド。
ACLの機能を利用して、ファイルをユーザー単位でアクセス制御することで、従来の権限設定と比べて、より細かなアクセス制御が可能
Pesudoファイルシステム
Pesudoファイルシステムは、疑似ファイルシステムは、カーネルの特殊な情報にアクセスするために構成された 仮想的なファイルシステムです。
このようにすることで、通常のファイルにアクセス するのと同じような方法でシステムの状態に関する情報を得ることが可能になります。
NFSv4擬似ファイルシステムは、通常のファイルシステムと同様にrootディレクトリを1つだけ持ちます。この擬似ファイルシステムのrootディレクトリを指定するときに /etc/exports ファイルに設定するオプションは「fsid=0」です
/nfs_sample ディレクトリを仮想rootディレクトリとしてエクスポートするように設定
/nfs_sample 192.168.0.0/24 (rw,fsid=0)