Remarques concernant la sécurité
Prenez en compte la sécurité lors de l'utilisation des autorisations d'export NFS et Unix de Microsoft Windows et des autorisations de dossier.
Remarques sur l'export
Tenez compte des meilleures pratiques de sécurité suivantes pour les paramètres d'export NFS :
- N'activez pas l'authentification
SYS
avec l'authentification Kerberos. Cela permet de s'assurer que les utilisateurs ne peuvent pas monter l'export sans l'option Kerberos pour contourner l'authentification Active Directory. Si l'authentificationSYS
est nécessaire, créez un autre export sur le système de fichiers et autorisez uniquement les adresses IP ou CIDR sécurisés à utiliser l'authentificationSYS
. - Envisagez d'activer le squash root afin qu'aucun client ne puisse obtenir l'accès root au système de fichiers. Si un accès root est requis, créez un autre export sur le système de fichiers et autorisez uniquement un CIDR ou une adresse IP sécurisé pour l'accès root.
- Lorsque l'accès anonyme est activé, tous les utilisateurs qui n'existent pas dans LDAP ou les utilisateurs sans attribut RFC2307 reçoivent
uid
etgid
anonymes définis dans les options d'export. Désactivez l'accès anonyme si vous ne le souhaitez pas. - Le squash de toutes les utilisations d'un fichier
uid
et d'un fichiergid
permet à tous les utilisateurs authentifiés Active Directory d'accéder au système de fichiers avec le même niveau de droits d'accès. Utilisez cette option avec prudence.