安全考量
使用 Microsoft Windows 和資料夾權限的 NFS 匯出和 Unix 權限時,請考慮安全性。
匯出的注意事項
請考量下列「NFS 匯出」設定的安全最佳措施:
- 請勿使用 Kerberos 認證啟用
SYS
認證。這樣可確保沒有 Kerberos 選項的使用者可以略過 Active Directory 認證來掛載匯出。如果需要進行SYS
認證,請在檔案系統上建立另一個匯出,並且只允許安全 CIDR 或 IP 位址使用SYS
認證。 - 請考慮啟用 root 策略,讓沒有任何用戶端可以取得檔案系統的根存取權。如果需要 root 存取權,請在檔案系統上建立另一個匯出,並且只允許保護 CIDR 或 IP 位址以進行 root 存取。
- 啟用匿名存取時,不存在於 LDAP 中的所有使用者或沒有 RFC2307 屬性的使用者會在匯出選項中取得匿名
uid
和gid
設定。若非優先,則停用匿名存取。 - 抑制所有對
uid
和gid
的使用,可讓所有 Active Directory 認證的使用者存取相同權限層次的檔案系統。請小心使用此選項。