Безопасная настройка NFS

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Godjira
Сообщения: 69

Безопасная настройка NFS

Сообщение Godjira »

Чтобы не плодить темы, спрошу в этой, так как есть новые вопросы по проекту.

Для организации доступа к хранилищу выбрал NFS. До этого всегда использовал этот протокол внутри локальной сети и особо не забивал голову вопросами безопасности. На VPS хочу свести число факторов угрозы к минимуму.
После установки nfs-kernel-server количество прослушивающих портов выросло в разы. После выполнения инструкций по отключению v2 и v3 удалось десяток портов погасить. Но остался ряд портов, принадлежащих rpc.mountd. Несмотря на то, что согласно ману этот демон "implements the server side of the NFS MOUNT protocol, an NFS side protocol used by NFS version 2 [RFC1094] and NFS version 3 [RFC1813].", а для работы v4 якобы достаточно только порта 2049, я не смог нагуглить ничего про то, как отключить rpc.mountd.

Правильно я понимаю, что с этим ничего не поделать и проще экранировать эти порты от внешнего интернета? А для этого жестко прописать их в настройках?

Сeйчас картина такая:

Shell

sudo netstat -tulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.53:domain 0.0.0.0:* LISTEN 342/systemd-resolve
tcp 0 0 0.0.0.0:39003 0.0.0.0:* LISTEN 543/rpc.mountd
tcp 0 0 localhost:6010 0.0.0.0:* LISTEN 691/sshd
tcp 0 0 192.0.0.1:nfs 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:53187 0.0.0.0:* LISTEN 543/rpc.mountd
tcp 0 0 0.0.0.0:55555 0.0.0.0:* LISTEN 587/sshd: /usr/sbin
tcp6 0 0 ip6-localhost:6010 [::]:* LISTEN 691/sshd
tcp6 0 0 [::]:53857 [::]:* LISTEN 543/rpc.mountd
tcp6 0 0 [::]:39951 [::]:* LISTEN 543/rpc.mountd
tcp6 0 0 [::]:55555 [::]:* LISTEN 587/sshd: /usr/sbin
udp 0 0 0.0.0.0:42494 0.0.0.0:* 543/rpc.mountd
udp 0 0 0.0.0.0:59404 0.0.0.0:* 543/rpc.mountd
udp 0 0 127.0.0.53:domain 0.0.0.0:* 342/systemd-resolve
udp 0 0 0.0.0.0:44244 0.0.0.0:* -
udp6 0 0 [::]:44244 [::]:* -
udp6 0 0 [::]:40815 [::]:* 543/rpc.mountd
udp6 0 0 [::]:38857 [::]:* 543/rpc.mountd
openSUSE Tumbleweed KDE
Ryzen5 3600 - ASUS Prime X470 Pro - GTX 980
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20998
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Безопасная настройка NFS

Сообщение Bizdelnick »

Godjira писал(а):
22.10.2024 14:14
Чтобы не плодить темы, спрошу в этой
iУведомление от модератора Bizdelnick
Не надо так делать, читайте правила. Тема разделена.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали: