Allgemeine Richtlinien zur Sicherung des Network File System

Online bearbeiten

Es gibt mehrere Richtlinien, die Ihnen helfen, das Network File System (NFS) zu sichern.

  • Stellen Sie sicher, dass die neuesten Software-Patches installiert sind. Patches, die sich mit Sicherheitsfragen befassen, sollten als besonders wichtig angesehen werden. Alle Software in einer bestimmten Infrastruktur sollte gepflegt werden. Wenn beispielsweise Patches für ein Betriebssystem installiert werden, aber nicht für einen Webserver, kann ein Angreifer in Ihre Umgebung eindringen, was vermieden werden könnte, wenn der Webserver ebenfalls aktualisiert worden wäre. Wenn Sie IBM® System p Security Alerts abonnieren möchten, um Informationen über die neuesten verfügbaren Sicherheitsinformationen zu erhalten, besuchen Sie die folgende Webadresse: http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd
  • Konfigurieren Sie den NFS-Server so, dass Dateisysteme mit der geringsten Anzahl an Berechtigungen exportiert werden, die erforderlich sind. Wenn Benutzer nur aus einem Dateisystem lesen müssen, sollten sie nicht in der Lage sein, in das Dateisystem zu schreiben. Dies kann einen Versuch mildern, wichtige Daten zu überschreiben, Konfigurationsdateien zu ändern oder zerstörerischen ausführbaren Code in ein exportiertes Dateisystem zu schreiben. Geben Sie Berechtigungen mit SMIT oder durch direkte Bearbeitung der /etc/exports -Datei an.
  • Konfigurieren Sie den NFS-Server so, dass Dateisysteme explizit für die Benutzer exportiert werden, die Zugriff darauf haben sollen. Die meisten Implementierungen von NFS ermöglichen es Ihnen, anzugeben, welche NFS-Clients Zugriff auf ein bestimmtes Dateisystem haben sollen. Dadurch werden Versuche von nicht berechtigten Benutzern zu Zugriffsdateisystemen gemildert. Konfigurieren Sie insbesondere keinen NFS-Server, um ein Dateisystem in sich selbst zu exportieren.
  • Exportierte Dateisysteme sollten sich in ihren eigenen Partitionen befinden. Ein Angreifer könnte Systemschäden verursachen, indem er in ein exportiertes Dateisystem schreibt, bis es voll ist. Dies kann dazu führen, dass das Dateisystem für andere Anwendungen oder Benutzer, die es benötigt, nicht verfügbar ist.
  • Erlauben Sie NFS-Clients nicht, auf das Dateisystem mit Root-Benutzerberechtigungsnachweisen oder unbekannten Benutzerberechtigungsnachweisen zuzugreifen. Die meisten Implementierungen von NFS können so konfiguriert werden, dass Anforderungen von einem privilegierten oder unbekannten Benutzer einem nicht privilegierten Benutzer zugeordnet werden. Dadurch werden Szenarien verhindert, in denen ein Angreifer versucht, als privilegierter Benutzer auf Dateien zuzugreifen und Dateioperationen durchzuführen.
  • Verwenden Sie nicht zulassen, dass NFS-Clients suid-und sgid-Programme auf exportierte Dateisysteme ausführen. Dadurch wird verhindert, dass NFS-Clients Schadcode mit Berechtigungen ausführen. Wenn der Angreifer in der Lage ist, die ausführbare Datei eines privilegierten Eigners oder einer privilegierten Gruppe zu erstellen, kann dem NFS-Server ein erheblicher Schaden zugefügt werden. Hierfür kann die Befehlsoption mknfsmnt -y angegeben werden.
  • Verwenden Sie Secure NFS. Secure NFS verwendet die DES-Verschlüsselung für die Authentifizierung von Hosts, die an RPC-Transaktionen beteiligt sind RPC ist ein Protokoll, das von NFS für die Kommunikation von Anforderungen zwischen Hosts verwendet wird. Secure NFS verringert die Versuche eines Angreifers, RPC-Anforderungen zu verderben, indem er den Zeitstempel in den RPC-Anforderungen verschlüsselt. Ein Empfänger, der den Zeitstempel erfolgreich entschlüsselt und bestätigt, dass er korrekt ist, dient als Bestätigung, dass die RPC-Anforderung von einem vertrauenswürdigen Host stammt.
  • Wenn NFS nicht benötigt wird, schalten Sie es aus. Dadurch wird die Anzahl der möglichen Angriffsvektoren, die einem Eindringling zur Verfügung stehen, reduziert.

NFS unterstützt auch die Verwendung des AES-Verschlüsselungstyps mit Kerberos 5-Authentifizierung zusätzlich zu Triple DES und Single DES. Eine Beschreibung, wie Kerberos 5 für die Verwendung des AES-Verschlüsselungstyps konfiguriert wird, finden Sie in der NFS System Management-Anleitung.