Überlegungen zur Sicherheit
Berücksichtigen Sie die Sicherheit bei der Verwendung von NFS-Export- und Unix-Berechtigungen aus Microsoft Windows und Ordnerberechtigungen.
Überlegungen zu Exporten
Beachten Sie die folgenden Best Practices zur Sicherheit für NFS-Exporteinstellungen:
- Aktivieren Sie die
SYS
-Authentifizierung nicht mit der Kerberos-Authentifizierung. Dadurch wird sichergestellt, dass Benutzer den Export ohne Kerberos-Option nicht mounten können, um die Active Directory-Authentifizierung zu umgehen. Wenn dieSYS
-Authentifizierung erforderlich ist, erstellen Sie einen weiteren Export im Dateisystem, und lassen Sie zu, dass nur sichere CIDR- oder IP-Adressen dieSYS
-Authentifizierung verwenden. - Sie sollten Root Squash aktivieren, damit keine Clients Root-Zugriff auf das Dateisystem erhalten können. Wenn Root-Zugriff erforderlich ist, erstellen Sie einen weiteren Export im Dateisystem, und lassen Sie nur sicheres CIDR oder IP-Adresse für den Root-Zugriff zu.
- Wenn der anonyme Zugriff aktiviert ist, erhalten alle Benutzer, die nicht in LDAP vorhanden sind, oder Benutzer ohne das Attribut RFC2307, anonyme Werte für
uid
undgid
in den Exportoptionen. Deaktivieren Sie den anonymen Zugriff, wenn dies nicht bevorzugt wird. - Durch das Squashing aller Verwendungen auf
uid
undgid
können alle authentifizierten Active Directory-Benutzer mit denselben Berechtigungen auf das Dateisystem zugreifen. Setzen Sie diese Option unbedingt ein.