Šioje pamokoje mes sutelksime dėmesį į pagrindines NFS tinklo sąvokas, ypač į NFS paslaugų naudojamus prievadus. Kai suprasime konkrečius NFS bendrinimo uostus ir paslaugas, galime juos naudoti norėdami sukonfigūruoti saugumo priemones, tokias kaip užkardos ir trikčių šalinimas.
Kaip veikia NFS
Rašant šį straipsnį palaikomos trys NFS versijos. NFS v2 yra seniausia ir plačiausiai palaikoma.
„NFS v3“ yra naujesnė nei „NFS V2“ ir siūlo daugiau funkcijų, tokių kaip kintamo dydžio tvarkymas, patobulinta pranešimų apie klaidas ir pan. Tačiau „NFS v3“ nesuderinama su „NFS v2“ klientais.
Naujausioje NFS v4 versijoje yra naujų ir patobulintų funkcijų. Tai apima būseną palaikančias operacijas, atgalinį suderinamumą su NFS v2 ir NFS v3, pašalintą portmapper reikalavimą, kelių platformų sąveiką, geresnį vardų srities valdymą, integruotą saugumą naudojant ACL ir „Kerberos“.
Toliau pateikiamas NFS v3 ir NFS v 4 palyginimas.
| Funkcija | NFS v3 | NFS v4 |
| Transporto protokolas | TCP ir UDP | Tik UDP |
| Leidimų tvarkymas | Unix | „Windows“ pagrindu |
| Autentifikavimo metodas | Auth_Sys - silpniau | Kerberos (stiprus) |
| Asmenybė | Be pilietybės | Valstybinis |
| Semantika | Unix | „Unix“ ir „Windows“ |
Aukščiau esančioje lentelėje parodytos kai kurios NFS 4 protokolo ir NFS 3 protokolo funkcijos. Jei norite sužinoti daugiau, apsvarstykite žemiau pateiktą oficialų dokumentą:
https://datatracker.ietf.org/doc/html/rfc3530
NFS v4 nenaudoja portmapperio, o NFS V2 ir V3 reikalingos paslaugos nėra būtinos. Todėl NFS v4 reikalingas tik 2049 prievadas.
Tačiau NFS v2 ir v2 reikalingi papildomi prievadai ir paslaugos, kuriuos aptarsime šiame vadove.
Būtinos paslaugos (NFS v2 ir V3)
Kaip minėta, NFS v2 ir v3 naudoja portmap paslaugą. „Portmap“ paslauga „Linux“ tvarko nuotolinių procedūrų skambučius, kuriuos NFS (v2 ir v3) naudoja koduoti ir iššifruoti užklausas tarp kliento ir serverių.
Norint įgyvendinti NFS bendrinimą, reikia šių paslaugų. Atminkite, kad tai taikoma tik NFS v2 ir v3.
- Portmapper
- Mountd
- Nfsd
- Užrakinta
- Stat
#: „Portmapper“
Norint paleisti NFS tiek kliento, tiek serverio pusėje, reikalinga „Portmapper“ paslauga. Jis veikia 111 prievade tiek TCP, tiek UDP protokolams.
Jei diegiate užkardą, įsitikinkite, kad šis prievadas leidžiamas gaunamiems ir siunčiamiems paketams.
#: Sumontuotas
Kita paslauga, reikalinga NFS paleidimui, yra mountd demonas. Ši paslauga veikia NFS serveryje ir yra naudojama tvarkyti NFS klientų prijungimo užklausas. Jį daugiausia tvarko „nfsd“ paslauga ir nereikia vartotojo konfigūracijos.
Tačiau galite redaguoti konfigūraciją, kad nustatytumėte statinį prievadą faile/etc/sysconfig/nfs. Raskite / ir nustatykite:
MOUNTD_PORT=[uostas]#: NFSD
Tai NFS demonas, veikiantis NFS serveriuose. Tai labai svarbi paslauga, kuri dirba su „Linux“ branduoliu ir teikia tokias funkcijas kaip serverio gijos visiems klientams, prijungtiems prie serverio.
Pagal numatytuosius nustatymus NFS demonas jau sukonfigūruotas paleisti statinį 2049 prievadą. Prievadas yra teisingas tiek TCP, tiek UDP protokoluose.
#: Užrakinta ir nustatyta
„NFS Lock Manager“ demonas („lockd“) ir „Status Manager“ demonas („statd“) yra kitos paslaugos, reikalingos r paleisti NFS. Šie demonai veikia serverio ir kliento pusėje.
Užrakintas demonas leidžia NFS klientams užrakinti failus NFS serveryje.
Kita vertus, nuolatinis demonas yra atsakingas už pranešimą vartotojams, kai NFS serveris iš naujo paleidžiamas be grakštaus išjungimo. Jis įgyvendina tinklo būsenos stebėjimo RPC protokolą.
Nors abi šias paslaugas automatiškai paleidžia „nfslock“ paslauga, galite sukonfigūruoti jas paleisti statinį prievadą, kuris gali būti naudingas užkardos konfigūracijose.
Nustatykite statinį ir užrakintą demonų statinį prievadą, redaguokite/etc/sysconfig/nfs ir įveskite šiuos įrašus.
STATD_PORT=[uostas]LOCKD_TCPPORT=[uostas]
LOCKD_UDPPORT=[uostas]
Greitas pakartojimas
Pažvelkime į trumpą apžvalgą apie tai, ką ką tik aptarėme.
Jei naudojate NFS v4, viskas, ko jums reikia, yra leisti 2049 prievadą. Tačiau jei naudojate NFS v2 arba v3, turite redaguoti failą/etc/sysconfig/nfs ir pridėti toliau nurodytų paslaugų prievadus.
- Montuojamas - MOUNTD_PORT = prievadas
- Statd - STATD_PORT = uostas
- LOCKD - LOCKD_TCPPORT = prievadas, LOCKD_UDPPORT = prievadas
Galiausiai turite įsitikinti, kad NFSD demonas veikia 2049 prievade, o portmapper - 111 prievade
PASTABA: Jei failo/etc/sysconfig/nfs nėra, sukurkite jį ir pridėkite pamokoje nurodytus įrašus.
Taip pat galite patikrinti/var/log/messages, jei NFS paslauga neveikia tinkamai. Įsitikinkite, kad jūsų nurodyti prievadai nenaudojami.
Konfigūracijos pavyzdys
Toliau pateikiamas NFS serverio konfigūracijos nustatymas „CentOS 8“ serveryje.
Redagavę konfigūraciją ir pridėję reikiamus prievadus, kaip aptarta vadove, iš naujo paleiskite paslaugą taip:
sudosystemctl paleisti nfs-server.serviceTada patvirtinkite, kad paslauga veikia, naudodami komandą:
sudosystemctl būsena nfs-server.service 
Galiausiai patvirtinkite prievadus, naudojamus naudojant „rpcinfo“, kaip parodyta žemiau esančioje komandoje:
sudorpcinfo-p 
Išvada
Šioje pamokoje buvo aptariami NFS protokolo tinklo pagrindai ir prievadai bei paslaugos, reikalingos tiek NFS v2, v3, tiek v4.
Dėkojame, kad skaitote, ir būkite išdidus geek!