欢迎来到天天文库
浏览记录
ID:46612686
大小:77.00 KB
页数:4页
时间:2019-11-26
《Linux下的NFS快速配置教程与安全策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、1、NFS原理NFS比较复杂,包括很多组件,通过特殊的协议进行交互。不同的纽件在操作系统当中都使用不同的配置文件以及状态文件。下图说明了NFS的主要组件及配置文件。Stxtdlmountdrquot.dServerIeCc/expcrtslocMqciodHT5扳务器RPCmTTRRTClockdrpciodKFSgPMClienttxtd/elc/fstab图网络文件系统原理示意图NFS分为服务器和客户机两部分,每个主机都有自己的内核级服务:外部数据表示(XDR,externalDataRepresentation)>远程过
2、程调川(RPC,RemoteProcedureCall)>I/O监控程序和锁监控程序。每个主机还有(=}己的用户级服务。内核级服务和用户级服务都依赖于主机的功能:NFS客户机或者是NFS服务器。当然,还要依赖丁每个主机使川的不同功能的配置文件(如果是服务器,则川的是/ctc/cxports配置文件,如果是客户机,则用的是/etc/fstab配置文件)。如果一台主机既是服务器乂是客户机,那么它需要运行两个部分的服务。在服务器端,portmap>mountd>nfsd三个监控程序将在后台运行。portmap监控程序用來注册基于rp
3、c的服务。当一个RPC的监控程序启动的时候,它告诉portmap监控程序它在哪一个端口进行侦听,并且它在进行什么样的RPC服务。当一个客户机向服务器提出一个RPC请求,那么它就会和portmap监控程序取得联系以确定RPC消息应该发往的端口廿。而Mountd监控程用的功能是來读取服务器端的/etc/exportfs文件并H创建一个将服务器的本地文件系统导出的丄机和网络列表,因而客户机的挂接(mount)请求都被定位到moumd监控程序(daemon)o当验证了服务器确实具有挂接所请求的文件系统的权限以后,mountd为请求的挂
4、接点返回一个文件句柄。而nfsd临控程序则被服务器川来处理客户机端发过来的请求,由丁-服务器需要同时处理多个客户机的请求,所以在缺省情况下,在Linux当中将会自动启动八个nfsd线程。当然,如果NFS服务器特别忙的时候,系统有可能根据实际情况启动三十个线程。2、NFS安装在网络环境・使用yum安装NFS的命令如卜1#yum-yinstallnfs3、NFS配置和使用在安装好NFS后,需要对•其进行配置才能正常使用,主要包括服务器配置和客户机配習两个步骤,下而详细对它们加以说明。服务器配置编W/etc/exports,在文件中
5、列出,要共享的目录。书写规则是:共享目录主机(参数)。并且每条规则占据一行。例如:/mnt/mp3192・168・10・168(ro,sync,no_root_squash)上面的规则代农将/mnt/mp3目录以读写同步方式共亨给主机I92.168.10.168。如果登陆到NFS主机的用户是roo〔,那么该用户就具有NFS主机的root用户的权限。具体的可选参数如下所示:1.rw:可读写的权限2.ro:只读的权限3.no_root_squash:登入到NFS主机的用户如果是ROOT用户,他就拥有ROOT的权限4.root_sq
6、uash:在登入NFS主机使川目录的使川者如果是root时,那么这个使用者的权限将被压缩成为匿名使用者,通常他的UID与GID都会变成nobody那个身份5.all_squash:不管登陆NFS主机的用户是什么都会被重新设定为nobody6.anonuid:将登入NFS主机的用八都设定成指定的userid,此ID必须存在于/etc/passwd中7.anongid:同anonuid,但是变成groupID就是了&sync资料同步写入存储器中9.async:资料会先暂时存放在内存中,不会直接写入硬盘10.insecure允许从这
7、台机器过来的非授权访问客户机配置客户机配置相对简单,只需要使用下述命令mountNFS文件系统即可:#mount-tnfs192・168.10.168:/home/mnt/mp3上述命令将远程的共亨H录挂接到木地的/home目录下,用户口J以直接对该目录进行操作,从而获取远程的共享资源。启动NFS服务#serviceportmapstart#servicenfsstart下面通过一个具体的例子來介绍NFS的安全性配置。假设在某个网站上有某个H录名为/popgame目录可以开放给NFS客户机来进行下载共享等工作,而这台服务器的I
8、P地址为:202.168.10.8,它可以开放H录给的主机的IP地址为202.168.10.10.202.168.10.13(当然可以提供给更多的服务器,而且他们的IP地址也可以各式各样,现在举的例f有点像局域网中的情况,不过原理相同)。那么我们首先就船要对服务器端的/etc
此文档下载收益归作者所有