セキュリティに関する考慮事項
Microsoft WindowsからのNFSエクスポートおよびUnix権限およびフォルダ権限を使用する場合は、セキュリティを考慮してください。
エクスポートの考慮事項
NFSエクスポート設定では、次のセキュリティのベスト・プラクティスを考慮してください。
- Kerberos認証で
SYS
認証を有効にしないでください。これは、Active Directory認証をバイパスするために、ユーザーがKerberosオプションなしでエクスポートをマウントできないようにするためです。SYS
認証が必要な場合は、ファイル・システムに別のエクスポートを作成し、セキュアなCIDRまたはIPアドレスのみがSYS
認証を使用できるようにします。 - クライアントがファイルシステムへのルートアクセスを取得できないように、ルートスカッシュを有効にすることを検討してください。ルート・アクセスが必要な場合は、ファイル・システムに別のエクスポートを作成し、ルート・アクセス用にセキュアなCIDRまたはIPアドレスのみを許可します。
- 匿名アクセスが有効な場合、LDAPに存在しないユーザー、またはRFC2307属性を持たないユーザーはすべて、エクスポート・オプションで匿名
uid
およびgid
が設定されます。推奨されない場合は、匿名アクセスを無効にします。 uid
およびgid
に対するすべての使用をスクワッシュすると、すべてのActive Directory認証済ユーザーが同じレベルの権限を持つファイル・システムにアクセスできます。注意してこのオプションを使用してください。