一、NFS简介
1.什么是NFS(Network FileSystem)
NFS 就是 Network FileSystem 的缩写,最早之前是由 Sun 所发展出来的。他最大的功能就是可以透过网
络,让不同的机器、不同的操作系统、可以彼此分享个别的档案 ( share file ),所以,也可以简单的将
他看做是一个 file server,这个 NFS Server 可以让你的 PC 来将网络远程的 NFS 主机分享的目录,挂
载到本地端的机器当中,所以,在本地端的机器看起来,那个远程主机的目录就好象是自己的 partition
一般!
虽然 NFS 有属于自己的协议与使用的 port number ,但是在资料传送或者其它相关讯息传递的时候, NFS 使用的则是一个称为远程过程调用( Remote Procedure Call, RPC )的协议来协助 NFS 本身的运作!
2.RPC
当我们在使用某些服务来进行远程联机的时候,有些信息,例如主机的IP、服务的端口、与对应到的服务的
PID 等等,都需要管理与对应!这些管理 port 的对应与服务相关性的工作,就是这个 Remote Procedure
Call, RPC 的任务了。
NFS 本身的服务并没有提供资料传递的协议,但是 NFS 却能让我们进行档案的分享,这其中的原因,就是
NFS 使用到一些其它相关的传输协议!而这些传输的协议,就是使用到这个所谓的 RPC 的功能!也就是说, NFS 本身就是使用 RPC 的一个 program 就是了!所以只要用到NFS的地方都要启动RPC服务,不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。
可以这么理解RPC和NFS的关系:NFS是一个文件系统,而RPC是负责负责信息的传输。这样 Server 端与 Client 端才能藉由 RPC 的协议来进行 program port 的对应喔!NFS 主要在管理分享出来的目录,而至于资料的传递,就直接将他丢给 RPC 的协议来运作就是了!
二、各NFS协议版本的主要区别 更多内容可以参阅http://www./protocols/nfs.php
V3相对V2的主要区别:
1、文件尺寸
V2最大只支持32BIT的文件大小(4G),而NFS V3新增加了支持64BIT文件大小的技术。
2、文件传输尺寸
V3没有限定传输尺寸,V2最多只能设定为8k,可以使用-rsize and -wsize 来进行设定。
3、完整的信息返回
V3增加和完善了许多错误和成功信息的返回,对于服务器的设置和管理能带来很大好处。
4、增加了对TCP传输协议的支持
V2只提供了对UDP协议的支持,在一些高要求的网络环境中有很大限制,V3增加了对TCP协议的支持
*5、异步写入特性
6、改进了SERVER的mount性能
7、有更好的I/O WRITES 性能。
9、更强网络运行效能,使得网络运作更为有效。
10、更强的灾难恢复功能。
异步写入特性(v3新增加)介绍:
NFS V3 能否使用异步写入,这是可选择的一种特性。NFS V3客户端发发送一个异步写入请求到服务器,在
给客户端答复之前服务器并不是必须要将数据写入到存储器中(稳定的)。服务器能确定何时去写入数据或
者将多个写入请求聚合到一起并加以处理,然后写入。客户端能保持一个数据的copy以防万一服务器不能完
整的将数据写入。当客户端希望释放这个copy的时候,它会向服务器通过这个操作过程,以确保每个操作步
骤的完整。异步写入能够使服务器去确定最好的同步数据的策略。使数据能尽可能的同步的提交何到达。与
V2比较来看,这样的机制能更好的实现数据缓冲和更多的平行(平衡)。而NFS V2的SERVER在将数据写入存
储器之前不能再相应任何的写入请求。
V4相对V3的改进:
1:改进了INTERNET上的存取和执行效能
2:在协议中增强了安全方面的特性
3:增强的跨平台特性
三、NFS所需要的软件
NFS需要有两个套件才行,分别是:
nfs-utils
就是提供 rpc.nfsd 及 rpc.mountd 这两个 NFS daemons 与其它相关 documents 与说明文件、执行档等的
套件!这个就是 NFS 的主要套件
portmap
就如同刚刚提的到,我们的 NFS 其实可以被视为一个 RPC server program,而要激活任何一个 RPC
server program 之前,我们都需要做好 port 的对应 ( mapping ) 的工作才行,这个工作其实就是
portmap这个服务所负责的!也就是说,在激活任何一个 RPC server 之前,我们都需要激活 portmap 才行
呢!
那么这个 portmap 到底在干嘛呢?就如同这个服务的名称,哈哈!就是作 port 的 mapping 啊!
举个例子来说:当 Client 端尝试来使用 RPC server 所提供的服务时,由于 Client 需要取得一个可以连
接的 port 才能够使用 RPC server 所提供的服务,因此, Client 首先就会去跟 portmap 联系一个port
number ,好让Client可以跟 RPC 联络,这个时候 portmap 就自动的将自己管理的 port mapping 告知
Client ,好让他可以连接上来 server!所以说:在激活 NFS 之前,要先激活portmap
运行nfs所需要的后台进程:
rpcinfo -p 127.0.0.1
rpc.nfsd管理clinet是否有权限登录,以及判别登录者的uid等;
rpc.mountd读取/etc/exports的权限,对文件访问权限进行控制;
rpc.lockd文件的互斥锁,保证文件在同一时间只有一个人访问,需要nfslockd服务;
rpc.statd检查文件的一致性,需要nfslockd服务。
四、CLIENT和SERVER的具体操作和设置
(一)NFS server端的设定:
1.配置文件参数
a)./etc/exports
分享的目录 主机名称1或IP1(参数1,参数2) 主机名称2或IP2(参数3,参数4)
b).参数
可以设定的参数主要有以下这些:
rw:read & write,可读可写;
ro:read only,只读;
sync:数据同步写入;
async:数据先暂时放于内存,而非直接写入硬盘;
no_root_squash:使用nfs时,如果用户是root,不进行权限压缩,即root用户在nfs上创建的文件属组和属主仍然是root(既不安全,不建议使用);
root_squash:使用nfs时,如果用户是root,则进行权限压缩,即把root用户在nfs上创建的文件属组和属主修改为nfsnobody;
all_squash:所有的用户使用nfs都将使用权限压缩;
anonuid:anon即anonymous(匿名者),前面关于*_squash提到的匿名用户的uid的设置值,通常为
nobody或者nfsnobody,使用这个参数可以自行设定这个uid值,这个uid必须存在于/etc/passwd;
anonuid:anon即anonymous(匿名者),前面关于*_squash提到的匿名用户的gid的设置值,通常为
nobody或者nfsnobody,使用这个参数可以自行设定这个gid值,这个gid必须存在于/etc/passwd。
insecure 允许从这台机器过来的非授权访问。
2.设置的实例:
a). /tmp *(rw,no_root_squash) //*号表示所有的IP都可以访问
b). /tmp *(rw)
/home/public 192.168.0.*(rw) *(ro) //下面两行作用一样
/home/public 192.168.0.0/24(rw) *(ro)
c). /home/test 192.168.0.100(rw) //只对某部机器设置权限
d). /home/linux *.linux.org(rw,all_squash,anonuid=40,anongid=40) //当*.linux.org登陆此NFS主机
,并且在/home/linux下面写入档案时,该档案的所有人与所有组,就会变成/etc/passwd 里面对应的UID为
40的那个身份的使用者了.
3.权限问题
假设/etc/exports里面的内容为
#vi /etc/exports
/tmp *(rw,no_root_squash)
/home/public 192.168.0.*(rw) *(ro)
/home/test 192.168.0.100(rw)
/home/linux *.linux.org(rw,all_squash,anonuid=40,anongid=40)
假设我们在192.168.0.100这个client端登陆此NFS主机(192.168.0.2),那么
情况一:在192.168.0.100的账号为test这个身份,同时,NFS主机上也有test这个账号
a).由于NFS主机的/tmp权限为-rwxrwxrwt,所以我(test在192.168.0.100上)在/tmp下面具有存取的权限
,并且写入档案的所有人为test.
b).在/home/public中,由于我有读写的权限,如果NFS主机在/home/public这个目录的权限对于test开
放写入的话,那么就可以读写,并且写入档案的所有人是test。如果NFS主机的/home/public对于test这个
使用者并没有开放写入权限时,那就无法写入,虽然 /etc/exports里面是rw,也不起作用.
c).在/home/test中,权限与/home/public有相同的状态,需要NFS主机的/home/test对于test有开放的
权限.
d).在/home/linux当中,不论是何种的user,身份都会被变成UID=40的这个账号
情况二:如果我们在192.168.0.100的身份为test2,但是NFS主机却没有test2这个账号时
a).在/tmp下还是可以写入,但是写入的档案所有人变成nobody.
b).在/home/public与/home/test里面是否可以写入,还需要看/home/public的权限而定,不过身份就被
变成nobody了
c)/home/linux下的身份还是变成UID=40的账号.
情况三:在192.168.0.100的身份为root
a).在/tmp里面可以写入,但是由于no_root_squash的参数,改变了预设的root_squash的设定值,所以
在/tmp写入档案的所有人为root了.
b).在/home/public底下的身份被压缩成了nobody,因为预设的属性都具有root_squash,所以档案所有人
就变成了nobody.
c)./home/test情况与/home/public相同.
d)./home/linux中,root的身份也被压缩成UID=40的那个使用者了.
4.启动服务portmap,nfs
#/etc/init.d/portmap start
#/etc/init.d/nfs start
#/etc/init.d/nfslock start
可以到/var/log/messages里面查看是否正确激活
在客户端连接使用nfs:
#/etc/init.d/portmap start
#/etc/init.d/nfslock start
# showmount -e 192.168.0.228
5.exportfs的用法
如果我们修改了/etc/exports后,并不需要重启nfs服务,只要用exportfs重新扫描一次/etc/exports,并
且重新加载即可
语法: exportfs [-aruv]
-a :全部mount或者unmount /etc/exports中的内容
-r :重新mount /etc/exports中分享出来的目录
-u :umount 目录
-v :在 export 的時候,将详细的信息输出到屏幕上。
例
#exportfs -rv //重新export一次
#exportfs -au //全部卸载
#exporting 192.168.0.100:/home/test
#exporting 192.168.0.*:/home/public
#exporting *.the9.com:/home/linux
#exporting *:/home/public
#exporting *:/tmp
#reexporting 192.168.0.100:/home/test to kernel
6./var/lib/nfs/etab里面可以查看每个目录的分享权限如:
/nfs *
(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks
,acl,mapping=identity,anonuid=65534,anongid=65534)
对照一下 /etc/passwd ,你就会发现,65534这个UID的用户是nfsnobody
7.showmount命令
语法: showmount [-ae] hostname(IP)
-a :这个参数是一般在NFS SERVER上使用,是用来显示已经mount上本机nfs目录的cline机器。
-e :显示指定的NFS SERVER上export出来的目录。
(二)NFS客户端的设定
#mount -t nfs hostname(orIP):/directory /mountpoint
为了担心会不小心将 NFS 端挂进来的具有 SUID 权限档案的程序执行,root可以将NFS 所分享的目录以较
为安全的情况挂载进来,可以
#mount -t nfs -o nosuid,ro hostname:/directory /mountponit
mount nfs的其它可选参数: (当然这也可以把这些参数写入/etc/fastab,下面有关于FSTAB的说明)
soft #当服务器端没回应时,会在timeout后重新连接,传回错误信息
hard #当服务器端没回应时持续在后台尝试连接
intr #当正在进行 NFS 请求时,允许用键盘中断
nointr #当正在进行 NFS 请求时,不允许用键盘中断
timeo #请求过期时间,单位为秒
bg #当第一次请求不成功,第二次的mount将放到后台执行
fg #一直在前台发送请求
proto=tcp|udp #修改使用TCP协议还是UDP协议来传输nfs的数据
default #hard和nointr
rsize #读操作的块大小,这个设置影响服务器和客户端的nfs缓存大小,如果有充足的内存和网
络带宽,可以设置高些,如32768(bytes);
wsize #写操作的块大小,这个设置影响服务器和客户端的nfs缓存大小,如果有充足的内存和网
络带宽,可以设置高些,如32768(bytes)。
autofs 能够自动挂载卸载nfs和文件系统,并且在空闲的时候能够关闭nfs连接,降低系统负载。使用
autofs要先关闭netfs服务,并注释掉/etc/fstab里关于nfs的内容。
下面是如何使用autofs来自动挂载nfs服务:
#chkconfig --level 35 autofs on
/etc/init.d/autofs start
vi /etc/auto.master
/nfs /etc/auto.nfs --timeout=60
vi /etc/auto.nfs
public -ro,soft,intr 192.168.0.228:/data
reboot
cd /nfs
# ls
# mount
/dev/hda1 on / type ext3 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw)
/dev/hda2 on /web type ext3 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
# cd public
# mount
/dev/hda1 on / type ext3 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw)
/dev/hda2 on /web type ext3 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
192.168.0.228:/data on /nfs/public type nfs (ro,soft,intr,addr=192.168.0.228)
同时使用多个参数的方法:mount -t nfs -o timeo=3,udp,hard 192.168.0.30:/tmp /nfs
请注意,NFS客户机和服务器的选项并不一定完全相同,而且有的时候会有冲突。比如说服务器以只读的方
式导出,客户端却以可写的方式mount,虽然可以成功mount上,但尝试写入的时候就会发生错误。一般服务
器和客户端配置冲突的时候,会以服务器的配置为准。
五、/etc/fstab的设定方法
要开机挂载nfs文件系统还需要开启netfs服务,并且把挂载项写入到/etc/fstab。
/etc/fstab的格式如下:
fs_spec fs_file fs_type fs_options fs_dump fs_pass
fs_spec:该字段定义希望加载的文件系统所在的设备或远程文件系统,对于nfs这个参数一般设置为这样:
192.168.0.1:/NFS
fs_file:本地的挂载点
fs_type:对于NFS来说这个字段只要设置成nfs就可以了
fs_options:挂载的参数,可以使用的参数可以参考上面的mount参数。
fs_dump - 该选项被"dump"命令使用来检查一个文件系统应该以多快频率进行转储,若不需要转储就设置
该字段为0
fs_pass - 该字段被fsck命令用来决定在启动时需要被扫描的文件系统的顺序,根文件系统"/"对应该字
段的值应该为1,其他文件系统应该为2。若该文件系统无需在启动时扫描则设置该字段为0 。
六、与NFS有关的一些命令介绍
nfsstat:
查看NFS的运行状态,对于调整NFS的运行有很大帮助
rpcinfo -p hostname(orIP):
查看rpc执行信息,可以用于检测rpc运行情况的工具。
七、可能出问题的地方:
1.权限的设定不符合
2.忘记了激活portmap,此时会报错:
mount: RPC: Port mapper failure - RPC: Unable to receive 或者
mount: RPC: Program not registered
那么,启动portmap,并且重新启动nfs
#service portmap start
#service nfs restart
3.被防火墙搞掉
重新设置防火墙,包括iptables与TCP_Wrappers,因为激活了portmap,所以port 111必须提供出去.因此在
iptables rules中,要增加:
iptables -A INPUT -p TCP --dport 111 -j ACCEPT
iptables -A INPUT -p UDP --dport 111 -j ACCEPT
如果还不行,那就是TCP_Wrappers的问题,检查/etc/hosts.deny,如果有一行是:
ALL: ALL: deny
那就必须在/etc/hosts.allow中增加:
portmap: ALL: allow
如果我们的NFS针对内部网络开发,对于外部网络只对学术网络开发(140.0.0.0/8),可以:
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
还可以使用TCP_Wrappers,在/etc/hosts.allow里面规定连上 NFS 主机的主机 IP 与名称,例如
#vi /.etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 :allow
portmap: 140.113.23.23 :allow
portmap: .sdu.edu.cn :allow
4、cant contact portmapper: RPC: Remote system error - Connection refused
出现这个错误信息是由于SEVER端的PORTMAP没有启动。
5、mount clntudp_create: RPC: Program not registered
NFS没有启动起来,可以用showmout -e host命令来检查NFS SERVER是否正常启动起来。
6、mount: localhost:/home/test failed, reason given by server: Permission denied
这个提示是当client要mount nfs server时可能出现的提示,意思是说本机没有权限去mount nfs server上
的目录。解决方法当然是去修改NFS SERVER咯。
八、NFS安全
NFS的不安全性主要体现于以下4个方面:
1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现
2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制
3、较早的NFS可以使未授权用户获得有效的文件句柄
4、在RPC远程调用中,一个SUID的程序就具有超级用户权限.
加强NFS安全的方法:
1、合理的设定/etc/exports中共享出去的目录,最好能使用anonuid,anongid以使MOUNT到NFS SERVER的
CLIENT仅仅有最小的权限,最好不要使用root_squash。
2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
3、为了防止可能的Dos攻击,需要合理设定NFSD 的COPY数目。
4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny
5、改变默认的NFS 端口
NFS默认使用的是111端口,但同时你也可以使用port参数来改变这个端口,这样就可以在一定程度上增强安
全性。
6、使用Kerberos V5作为登陆验证系统
要注意的问题:
关机时如果NFS Server上面还有Client联机,建议NFS Server关机之前,要先关掉portmap与nfs这两个系统
服务。如果无法正确地将这两个系统服务关掉,那么先以netstat -utlp找出PID,然后使用kill杀掉进程,
这样才能正常关机。
如果要载Windows系统中使用NFS共享目录,需要使用 Omini Lite 软件,这个我没有测试,大家有兴趣的,
可以安装上来试试。
【案例1】架设一台NFS服务器,并按照以下要求配置输出目录
(1)开放/nfs/shared目录,供所有用户查阅资料。
(2)开放/nfs/upload目录作为192.168.85.0/24网段的数据上传目录,并将所有用户及所属的用户组都映
射为nfs-upload,其UID与GID均为210。
(3)将/home/tom目录仅共享给192.168.85.129这台主机,并且只有用户tom可以完全访问该目录。
# mkdir -p /nfs/shared
# mkdir -p /nfs/upload
# chmod 777 /nfs/upload
# useradd tom
# useradd -u 600 test
# vim /etc/exports
/nfs/shared *(ro)
/nfs/upload 192.168.85.0/24(rw,all_squash,anonuid=210,anongid=210)
/home/tom 192.168.85.128(rw)
注意一点:这里要注意tom两边的UID必需要一致否则不能实现第3个要求
转载
