Ebben az oktatóanyagban az NFS alapvető hálózati koncepcióira fogunk összpontosítani, különösen az NFS szolgáltatások által használt portokra. Miután megértettük az NFS megosztás konkrét portjait és szolgáltatásait, felhasználhatjuk azokat olyan biztonsági intézkedések konfigurálásához, mint a tűzfalak és a hibaelhárítás.
Hogyan működik az NFS?
A cikk írásakor az NFS három verziója támogatott. Az NFS v2 a legrégebbi és a legszélesebb körben támogatott.
Az NFS v3 újabb, mint az NFS V2, és több olyan funkciót kínál, mint a változó méretű kezelés, a jobb hibajelentés, stb. Az NFS v3 azonban nem kompatibilis az NFS v2 kliensekkel.
Az NFS v4 legújabb verziója új és továbbfejlesztett szolgáltatásokat kínál. Ezek közé tartoznak az állapotfeltáró műveletek, az NFS v2 és az NFS v3 visszafelé való kompatibilitása, az eltávolított porttérkép-követelmény, a platformok közötti átjárhatóság, a jobb névtér-kezelés, a beépített biztonság ACL-ekkel és a Kerberos.
A következő az NFS v3 és az NFS v 4 összehasonlítása.
| Funkció | NFS v3 | NFS v4 |
| Közlekedési protokoll | TCP és UDP | Csak UDP |
| Engedélyek kezelése | Unix | Windows-alapú |
| hitelesítési módszer | Auth_Sys - Gyengébb | Kerberos (erős) |
| Személyiség | Államtalan | Állandó |
| Szemantika | Unix | Unix és Windows |
A fenti táblázat bemutatja az NFS 4 protokoll és az NFS 3 protokoll néhány jellemzőjét. Ha többet szeretne megtudni, vegye figyelembe az alábbi hivatalos dokumentumot:
https://datatracker.ietf.org/doc/html/rfc3530
Az NFS v4 nem használ portmapper -t, és az NFS V2 és V3 által megkövetelt szolgáltatások nem szükségesek. Ezért az NFS v4 -ben csak a 2049 -es port szükséges.
Az NFS v2 és v2 azonban további portokat és szolgáltatásokat igényel, amelyeket ebben az oktatóanyagban tárgyalunk.
Szükséges szolgáltatások (NFS v2 és V3)
Mint említettük, az NFS v2 és v3 portmap szolgáltatást használ. A portmap szolgáltatás a Linuxban kezeli a távoli eljáráshívásokat, amelyeket az NFS (v2 és v3) használ az ügyfél és a kiszolgálók közötti kérések kódolására és dekódolására.
Az NFS megosztás megvalósításához az alábbi szolgáltatásokra van szükség. Ne feledje, hogy ez csak az NFS v2 és v3 esetén használható.
- Portmapper
- Mountd
- Nfsd
- Lockd
- Statd
#: Portmapper
A Portmapper szolgáltatás szükséges az NFS futtatásához mind a kliens, mind a szerver oldalon. A 111 -es porton fut TCP és UDP protokollokhoz egyaránt.
Ha tűzfalat valósít meg, győződjön meg arról, hogy ez a port engedélyezett a bejövő és kimenő csomagok számára.
#: Felszerelt
Az NFS futtatásához szükséges másik szolgáltatás a mountd démon. Ez a szolgáltatás az NFS -kiszolgálón fut, és az NFS -ügyfelektől származó csatolási kérelmek kezelésére szolgál. Főleg az nfsd szolgáltatás kezeli, és nem igényel felhasználói konfigurációt.
A konfigurációt azonban szerkesztheti, hogy statikus portot állítson be az/etc/sysconfig/nfs fájlban. Keresse meg a / -t és állítsa be:
MOUNTD_PORT=[kikötő]#: NFSD
Ez az NFS démon, amely NFS szervereken fut. Ez egy kritikus szolgáltatás, amely a Linux kernellel együttműködve olyan funkciókat biztosít, mint a szerver szálak a szerverhez csatlakozó összes ügyfél számára.
Alapértelmezés szerint az NFS démon már úgy van konfigurálva, hogy 2049 -es statikus portot futtasson. A port igaz mind a TCP, mind az UDP protokollra.
#: Lockd & Statd
Az NFS Lock Manager démon (lockd) és a Status Manager démon (statd) az NFS futtatásához szükséges egyéb szolgáltatások. Ezek a démonok a szerveroldalon és az ügyféloldalon futnak.
A zárolt démon lehetővé teszi az NFS -ügyfelek számára, hogy zárolják a fájlokat az NFS -kiszolgálón.
Másrészről, a statd démon feladata, hogy értesítse a felhasználókat, amikor az NFS szerver kecses leállítás nélkül újraindul. A Network Status Monitor RPC protokollt valósítja meg.
Bár mindkét szolgáltatást az nfslock szolgáltatás automatikusan elindítja, beállíthatja őket statikus port futtatására, ami hasznos lehet a tűzfal konfigurációiban.
Állítson be egy statikus portot a statd és a lockd démonokhoz, szerkessze az/etc/sysconfig/nfs fájlt, és írja be a következő bejegyzéseket.
STATD_PORT=[kikötő]LOCKD_TCPPORT=[kikötő]
LOCKD_UDPPORT=[kikötő]
Gyors összefoglaló
Vessünk egy rövid összefoglalót az imént leírtakról.
Ha NFS v4 -et futtat, mindössze annyit kell tennie, hogy engedélyezi a 2049 -es portot. Ha azonban NFS v2 vagy v3 operációs rendszert futtat, szerkesztenie kell az/etc/sysconfig/nfs fájlt, és hozzá kell adnia a következő szolgáltatások portjait.
- Felszerelt - MOUNTD_PORT = port
- Statd - STATD_PORT = port
- LOCKD - LOCKD_TCPPORT = port, LOCKD_UDPPORT = port
Végül győződjön meg arról, hogy az NFSD démon a 2049 -es porton és a portmapper a 111 -es porton fut.
JEGYZET: Ha az/etc/sysconfig/nfs fájl nem létezik, hozza létre, és adja hozzá az oktatóanyagban megadott bejegyzéseket.
Ellenőrizheti a/var/log/messages üzenetet is, ha az NFS szolgáltatás nem indul el megfelelően. Győződjön meg arról, hogy a megadott portok nincsenek használatban.
Példa konfiguráció
Az alábbiakban az NFS -kiszolgáló konfigurációs beállításai láthatók a CentOS 8 kiszolgálón.
Miután szerkesztette a konfigurációt és hozzáadta a szükséges portokat az oktatóanyagban leírtak szerint, indítsa újra a szolgáltatást a következőképpen:
sudosystemctl start nfs-server.serviceEzután ellenőrizze, hogy a szolgáltatás fut -e a következő paranccsal:
sudosystemctl állapot nfs-server.service 
Végül erősítse meg az rpcinfo használatával futó portokat az alábbi parancs szerint:
sudorpcinfo-p 
Következtetés
Ez az oktatóanyag megvitatta az NFS protokoll hálózati alapjait, valamint az NFS v2, v3 és v4 számára szükséges portokat és szolgáltatásokat.
Köszönjük, hogy elolvasta, és légy büszke geek!