NFS协议的故障处理和安全分析来源：dnf连发http://www.115z.com在之前的文章中，我们介绍了NFS协议的有关内容。想必大家对于它的基础概念，以及配置等有关内容已经有了了解了。这里我们主要讲解一下有关于NFS协议的故障解决以及相关安全的问题。NFS协议故障解决1､NFSD没有启动起来首先要确认NFS输出列表存在,否则nfsd不会启动.可用exportfs命令来检查,如果exportfs命令没有结果返回或返回不正确,则需要检查/etc/exports文件.2､mountd进程没有启动mountd进程是一个远程过程调用(RPC),其作用是对客户端要求安装(mount)文件系统的申请作出响应.mountd进程通过查找/etc/xtab文件来获知哪些文件系统可以被远程客户端使用.另外,通过mountd进程,用户可以知道目前有哪些文件系统已被远程文件系统装配,并得知远程客户端的列表.查看mountd是否正常启动起来可以使用命令rpcinfo进行查看,在正常情况下在输出的列表中应该象这样的行:1000051udp1039mountd1000051tcp1113mountd1000052udp1039mountd1000052tcp1113mountd1000053udp1039mountd1000053tcp1113mountd如果没有起来的话可以检查是否安装了PORTMAP组件.rpm-qa|grepportmap3､fstypenfsnosupportedbykernelkernel不支持nfs文件系统,重新编译一下KERNEL就可以解决.4､can'tcontactportmapper:RPC:Remotesystemerror-Connectionrefused出现这个错误信息是由于SEVER端的PORTMAP没有启动.5､mountclntudp_create:RPC:ProgramnotregisteredNFS协议没有启动起来,可以用showmout-ehost命令来检查NFSSERVER是否正常启动起来.6､mount:localhost:/home/testfailed,reasongivenbyserver:Permissiondenied这个提示是当client要mountnfsserver时可能出现的提示,意思是说本机没有权限去mountnfsserver上的目录.解决方法当然是去修改NFSSERVER咯.7､被防火墙阻挡这个原因很多人都忽视了,在有严格要求的网络环境中,我们一般会关闭linux上的所有端口,当需要使用哪个端口的时候才会去打开.而NFS默认是使用111端口,所以我们先要检测是否打开了这个端口,另外也要检查TCP_Wrappers的设定.NFS安全NFS的不安全性主要体现于以下4个方面:1､新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现2､NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制3､较早的NFS可以使未授权用户获得有效的文件句柄4､在RPC远程调用中,一个SUID的程序就具有超级用户权限.加强NFS协议安全的方法:1､合理的设定/etc/exports**享出去的目录,最好能使用anonuid,anongid以使MOUNT到NFSSERVER的CLIENT仅仅有最小的权限,最好不要使用root_squash.2､使用IPTABLE防火墙限制能够连接到NFSSERVER的机器范围iptables-AINPUT-ieth0-pTCP-s192.168.0.0/24--dport111-jACCEPTiptables-AINPUT-ieth0-pUDP-s192.168.0.0/24--dport111-jACCEPTiptables-AINPUT-ieth0-pTCP-s140.0.0.0/8--dport111-jACCEPTiptables-AINPUT-ieth0-pUDP-s140.0.0.0/8--dport111-jACCEPT3､为了防止可能的Dos攻击,需要合理设定NFSD的COPY数目.4､修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的/etc/hosts.allowportmap:192.168.0.0/255.255.255.0:allowportmap:140.116.44.125:all