Diretrizes gerais para proteger o Network File System

Editar online

Existem várias diretrizes que ajudam a proteger o Network File System (NFS).

  • Assegure-se de que as últimas correções do software estejam instaladas. As correções que abordam problemas de segurança devem ser consideradas especialmente importantes. Todo software em uma determinada infraestrutura deve ser mantido. Por exemplo, instalar correções em um sistema operacional, mas deixar de instalar correções em um servidor da web, pode fornecer a um invasor uma maneira de conectar seu ambiente que poderia ter sido evitada se o servidor da web também tivesse sido atualizado. Para assinar os Alertas de Segurança IBM System p e obter informações sobre as últimas informações de segurança disponíveis, visite o seguinte endereço da Web: http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd
  • Configure o servidor NFS para exportar sistemas de arquivos com a menor quantidade de privilégios necessários. Se os usuários precisam somente ler em um sistema de arquivos, eles não devem poder gravar nele. Isso pode minimizar uma tentativa de sobrescrever dados importantes, modificar arquivos de configuração ou escrever código executável malicioso em um sistema de arquivos exportado. Especifique privilégios usando SMIT ou editando diretamente o arquivo /etc/exports.
  • Configure o servidor NFS para exportar sistemas de arquivos explicitamente para os usuários que devem ter acesso a ele. A maioria das implementações do NFS permitirá que você especifique quais clientes NFS devem ter acesso a um determinado sistema de arquivos. Isso minimizará as tentativas de usuários não autorizados de acessar sistemas de arquivos. Em particular, não configure um servidor NFS para exportar um sistema de arquivos para si mesmo.
  • Os sistemas de arquivos exportados devem estar em suas próprias partições. Um invasor poderia causar degradação do sistema ao gravar em um sistema de arquivos exportado até que fique cheio. Isso pode tornar o sistema de arquivos indisponível para outros aplicativos ou usuários que precisam dele.
  • Não permita que clientes NFS acessem o sistema de arquivos com credenciais de usuário root ou credenciais de usuário desconhecidas. A maioria das implementações do NFS pode ser configurada para mapear solicitações de um usuário privilegiado ou desconhecido para um usuário desprivilegiado. Isso evitará cenários em que um invasor tente acessar arquivos e executar operações de arquivo como um usuário privilegiado.
  • Não permita que clientes NFS executem programas suid e sgid em sistemas de arquivos exportados. Isso evitará que clientes NFS executem código malicioso com privilégios. Se o invasor puder alcançar o executável pertencente a um proprietário ou grupo privilegiado, poderão ocorrer danos significativos ao servidor NFS. Isso pode ser feito especificando a opção de comando mknfsmnt -y .
  • Use NFS seguro. O NFS seguro usa criptografia DES para autenticar hosts envolvidos em transações RPC. RPC é um protocolo usado por NFS para comunicar solicitações entre hosts. O NFS seguro minimizará as tentativas de um invasor de realizar spoof de solicitações de RPC, criptografando o registro de data e hora nas solicitações de RPC. Um receptor que decriptografa com sucesso o registro de data e hora e confirma que está correto serve como a confirmação de que a solicitação de RPC é proveniente de um host confiável.
  • Se o NFS não for necessário, desative-o. Isso reduzirá o número de possíveis vetores de ataque disponíveis para um intruso.

O NFS também suporta o uso do tipo de criptografia AES com autenticação Kerberos 5, além do DES triplo e DES único. Para uma descrição de como configurar o Kerberos 5 para usar o tipo de criptografia AES, consulte o guia de Gerenciamento do sistema NFS.