Všeobecné predpisy pre zabezpečenie systému NFS (Network File System)

Existuje niekoľko pravidiel na pomoc pri zabezpečovaní Network File System (NFS).

  • Skontrolujte, či sú nainštalované najnovšie softvérové opravy. Opravy bezpečnostných problémov by mali byť považované za mimoriadne dôležité. Mal by byť udržiavaný celý softvér v danej infraštruktúre. Napríklad nainštalovanie opráv na operačný systém, ale nenainštalovanie opráv na webový server môže poskytnúť útočníkovi spôsob na pripojenie vášho prostredia, čomu by sa dalo vyhnúť, ak by bol aktualizovaný aj webový server. Ak chcete odoberať bezpečnostné výstrahy služby IBM® System p a získavať tak najnovšie informácie o bezpečnosti, navštívte nasledujúcu webovú adresu: http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd.
  • Nakonfigurujte si server NFS na export systémov súborov s najmenším rozsahom potrebných privilégií. Ak chcú užívatelia len čítať zo systému súborov, nemali by mať možnosť zapisovať doň. Tým možno zmierniť pokus o prepísanie dôležitých údajov, modifikáciu konfiguračných súborov alebo zapísanie svojvoľného spustiteľného kódu do vyexportovaného systému súborov. Zadajte privilégiá pomocou SMIT alebo priamo úpravou súboru /etc/exports.
  • Nakonfigurujte server NFS na export systémov súborov explicitne pre používateľov, ktorí majú mať doň prístup. Väčšina implementácií NFS umožňuje uviesť, ktorí klienti NFS majú mať prístup do daného systému súborov. Tým sa zmiernia pokusy neautorizovaných používateľov o prístup k systémom súborov. Predovšetkým nekonfigurujte server NFS na export súborového systému do neho samotného.
  • Vyexportované systémy súborov by sa mali nachádzať vo svojich vlastných oddieloch. Zapisovaním do vyexportovaného súboru až do jeho zaplnenia môže útočník spôsobiť degradáciu systému, čo môže viesť k neprístupnosti systému súborov pre ostatné aplikácie alebo používateľov, ktorí ho potrebujú.
  • Nedovoľte klientom NFS vstupovať do systému súborov s povoľovacími údajmi koreňového alebo neznámeho používateľa. Väčšinu implementácií NFS možno nakonfigurovať na mapovanie požiadaviek z privilegovaného alebo neznámeho do neprivilegovaného používateľa, čím sa zabráni scenárom, podľa ktorých sa útočník snaží o prístup k súborom a vykonáva operácie súborov ako privilegovaný používateľ.
  • Nedovoľte klientom NFS spúšťať programy suid a sgid na exportovaných súborových systémoch, čím zabránite, aby klienti NFS spustili škodiaci kód s privilégiami. Ak útočník dokáže vytvoriť spustiteľný program, ktorý bude vlastniť privilegovaný vlastník alebo skupina, server NFS môže byť významným spôsobom poškodený. Uvedené možno vykonať zadaním voľby príkazu mknfsmnt -y.
  • Použite zabezpečený NFS, ktorý používa na autentifikáciu hostiteľov zúčastňujúcich sa transakcií RPC šifrovanie DES. RPC je protokol, ktorý NFS používa na prenos požiadaviek medzi hostiteľmi. Zabezpečený NFS môže zmierniť pokusy útočníkov o oklamanie požiadaviek RPC zašifrovaním ich časovej značky. Prijímač úspešne dešifrujúci časovú značku a potvrdzujúci jej správnosť potvrdzuje, že požiadavka RPC prišla od dôveryhodného hostiteľa.
  • Ak NFS nepotrebujete, vypnite ho, čím znížite počet možných útočných vektorov dostupných pre narušiteľa.

Okrem šifrovaní Triple DES a Single DES, NFS taktiež podporuje použitie šifrovania typu AES s autentifikáciou Kerberos 5. Opis konfigurácie protokolu Kerberos 5 na použitie typu šifrovania AES si prečítajte v príručke k správe systému NFS.