Общее руководство по защите сетевой файловой системы

В этом разделе приведено руководство по защите сетевой файловой системы (NFS).

  • Убедитесь, что установлены последние версии исправлений программного обеспечения. Особое внимание обратите на исправления, связанные с защитой системы. Следует выполнять обслуживание всего программного обеспечения, образующего единую инфраструктуру. Например, установив исправления для операционной системы, но оставив Web-сервер без исправлений, можно предоставить злоумышленнику возможность для проникновения в систему, чего можно было бы избежать, своевременно обновив Web-сервер. Для того чтобы подписаться на предупреждения о защите IBM® System p для получения новейшей доступной информации о безопасности посетите следующий веб-адрес: http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd.
  • Настройте сервер NFS таким образом, чтобы файловые системы экспортировались с минимальным набором прав доступа. Если пользователям необходимо только считывать информацию из файловой системы, у них не должно быть прав на запись в эту файловую систему. Это позволит предотвратить попытки заменить важные данные, изменить файлы конфигурации или записать вредоносный исполняемый код в экспортируемую файловую систему. Указывайте права доступа с помощью SMIT или непосредственно в файле /etc/exports.
  • Экспортируйте файловые системы на сервере NFS только для тех пользователей, которым необходим доступ к этим файловым системам. В большинстве реализаций NFS можно указать, каким клиентам NFS разрешен доступ к той или иной файловой системе. Это позволит сократить количество попыток несанкционированного доступа к файловым системам. В частности, не экспортируйте файловую систему на тот сервер NFS, с которого она экспортируется.
  • Экспортируемые файловые системы должны располагаться в отдельных разделах. Злоумышленник может добиться снижения производительности системы, записывая данные в экспортированную файловую систему до тех пор, пока она не переполнится. В результате файловая система станет недоступна для тех приложений и пользователей, которым она действительно необходима.
  • Запретите клиентам NFS обращаться к файловой системе от имени пользователя root или от имени неизвестного пользователя. В большинстве реализаций NFS можно настроить преобразование запросов привилегированных и неизвестных пользователей в запросы обычных пользователей. Это не даст возможность злоумышленнику получать доступ к файлам и выполнять операции над файлами от имени привилегированного пользователя.
  • Запретите клиентам NFS запускать программы suid и sgid в экспортированных файловых системах. Это позволит предотвратить выполнение вредоносного кода с правами администратора. Если злоумышленнику удастся создать исполняемый файл, владельцем которого является привилегированный пользователь или группа, серверу NFS может быть нанесен значительный ущерб. Для того чтобы установить этот запрет, укажите опцию команды mknfsmnt -y.
  • Используйте защищенную NFS. В защищенной NFS для идентификации хостов, участвующих в транзакциях RPC, применяется шифрование DES. RPC - это протокол, используемый NFS для обмена запросами между хостами. Защищенная NFS зашифровывает системное время в запросах RPC и тем самым снижает вероятность того, что злоумышленнику удастся имитировать запрос RPC. Расшифровав системное время и проверив его правильность, получатель может убедиться в том, что запрос RPC получен от надежного хоста.
  • Если вы не планируете применять NFS, выключите ее. Это снизит количество возможных путей для атаки.

В NFS в дополнение к Triple DES и Single DES поддерживается шифрование AES с идентификацией Kerberos 5. Сведения о настройке Kerberos 5 для использования типа шифрования AES приведены в Руководстве по администрированию NFS.