Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - S�curisation de NFS

5.4. S�curisation de NFS

Le syst�me de fichiers r�seau (ou NFS, de l'anglais Network File System) est un service qui fournit des syst�mes de fichiers accessibles par r�seau � des ordinateurs clients. Pour davantage d'informations sur le fonctionnement de NFS, reportez-vous au chapitre intitul� Syst�me de fichiers r�seau (NFS) du Guide de r�f�rence de Red Hat Enterprise Linux. Pour obtenir de plus amples informations sur la configuration de NFS, consultez le Guide d'administration syst�me de Red Hat Enterprise Linux. Les sous-sections suivantes supposent que le lecteur dispose de connaissances �l�mentaires sur NFS.

ImportantImportant
 

La version de NFS incluse dans Red Hat Enterprise Linux, NFSv4, n'a plus besoin du service portmap comme l'explique la Section 5.2. Le trafic NFS utilise d�sormais TCP dans toutes les versions, au lieu de UDP, et en a besoin lors de l'utilisation de NFSv4. NFSv4 inclut d�sormais l'authentification d'utilisateurs et de groupes Kerberos, faisant partie du module de noyau RPCSEC_GSS. Des informations sur portmap sont toujours incluses, vu que Red Hat Enterprise Linux prend en charge NFSv2 et NFSv3 qui l'utilisent.

5.4.1. Planifier prudemment le r�seau

Puisque NFSv4 peut d�sormais transmettre toutes les informations sur le r�seau de mani�re non-crypt�e � l'aide de Kerberos, il est important que le service soit configur� correctement si il se trouve derri�re un pare-feu ou sur un r�seau segment�. NFSv2 et NFSv3 transmettent toujours des donn�es de mani�re non-s�curis�e et vous devriez faire attention. � cet �gard, une conception prudente de r�seau peut aider � lutter contre des br�ches de s�curit�.

5.4.2. Attention aux erreurs de syntaxe

Le serveur NFS d�termine quels syst�mes de fichiers � exporter et quels h�tes doivent recevoir ces r�pertoires au moyen du fichier /etc/exports. Faites bien attention de ne pas ajouter d'espaces superflus lors de la modification du fichier.

Par exemple, la ligne suivante pr�sente dans le fichier /etc/exports permet le partage du r�pertoire /tmp/nfs/ avec l'h�te bob.example.com avec des permissions de lecture et �criture.

/tmp/nfs/     bob.example.com(rw)

En revanche, la ligne suivante dans le fichier /etc/exports permet le partage du m�me r�pertoire d'une part avec l'h�te bob.example.com avec des permissions de lecture-seule et d'autre part avec tout le monde avec des permissions de lecture et �criture, et ce en raison d'un seul espace ajout� apr�s le nom d'h�te.

/tmp/nfs/     bob.example.com (rw)

Il est donc bon de toujours v�rifier tout partage NFS configur� en utilisant la commande showmount afin d'obtenir une id�e claire des �l�ments offerts en partage.

showmount -e <hostname>

5.4.3. N'utilisez pas l'option no_root_squash

Par d�faut, les partages NFS changent la propri�t� de fichiers appartenant au super-utilisateur � celle de l'utilisateur nfsnobody (personne), un compte d'utilisateur sans privil�ges. De cette mani�re, tous les fichiers cr��s par le super-utilisateur appartiennent � l'utilisateur nfsnobody, ce qui �vite le t�l�chargement de programmes avec le bit setuid d�fini.

Si no_root_squash est utilis�, les super-utilisateurs � distance pourront changer tout fichier sur le syst�me de fichiers partag� et laisser des applications avec des chevaux de Troie que d'autres utilisateurs pourraient ex�cuter par inadvertance.

 
 
  Published under the terms of the GNU General Public License Design by Interspire