RFC: 2196
Оригинал: Site Security Handbook
Предыдущие версии: RFC 1244
Категория: Информационный
Дата публикации:
Автор:
Перевод: Семенов Юрий Алексеевич
3.2.3.7. NFS

Сетевая файловая система (Network File Service) позволяет ЭВМ совместно использовать диски. NFS могут использовать бездисковые ЭВМ, которые зависят от дисковых серверов для любых операций записи и чтения. К сожалению, NFS не имеет встроенных средств защиты. Следовательно необходимо, чтобы NFS-сервер был доступен только для тех ЭВМ, которые должны пользоваться его услугами. Это достигается путем спецификации того, как и какие ЭВМ обслуживаются файловой системой (например, только для чтения, чтение-запись, и т.д.). Файловые системы не должны транспортироваться каким-либо ЭВМ за пределами локальной сети, так как это потребует, чтобы NFS-сервис был доступен извне. Идеально, внешний доступ к NFS-услугам должен быть перекрыт с помощью firewall.

3.2.4. Защищая защиту

Удивительно, как часто узлы не обращают внимания на совершенно очевидные слабости в сфере безопасности, оставляя сам сервер безопасности открытым для атак. Основываясь на обсужденных выше соображениях, должно быть ясно, что: сервер безопасности не должен быть доступен извне; он должен предлагать минимальный доступ, за исключением функции аутентификации в отношении внутренних пользователей; и не должен делить машину с другими серверами. Далее, все операции доступа к узлу, включая доступ к самому этому сервису, должен регистрироваться в специальных файлах, чтобы обеспечить аудит в случае обнаружения успешных атак.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.