默认情况下,NFS 共享资源通过 AUTH_SYS RPC 验证进行分配。也可以将其配置为通过 Kerberos 安全进行共享。使用 AUTH_SYS 验证,客户机的 UNIX 用户 ID (User ID, UID) 和组 ID (Group ID, GID) 在网络上不会经过 NFS 服务器验证。此验证机制可被客户机上具有 root 访问权限的任何人轻松破解;因此,最好使用一个其他可用安全模式。
可以以共享资源为单位指定其他访问控制,从而允许或拒绝对特定主机、DNS 域或网络的共享资源的访问。
安全模式以共享资源为单位进行设置。以下列表介绍了可用的 Kerberos 安全设置:
krb5-通过 Kerberos V5 进行最终用户验证
krb5i-krb5 加完整性保护(数据包是防篡改的)
krb5p-krb5i 加隐私保护(数据包是防篡改而经过加密的)
Kerberos 类型的组合也可以在安全模式设置中指定。组合安全模式允许客户机使用所列出的任何 Kerberos 类型进行挂载。
sys-系统验证
krb5-仅限 Kerberos v5,客户机必须使用此类型进行挂载
krb5:krb5i-Kerberos v5,带有完整性,客户机可以使用所列出的任何类型进行挂载
krb5i-仅限 Kerberos v5 完整性 ,客户机必须使用此类型进行挂载
krb5:krb5i:krb5p-Kerberos v5,带有完整性或隐私,客户机可以使用所列出的任何类型进行挂载
krb5p-仅限 Kerberos v5 隐私,客户机必须使用此类型进行挂载