[发明专利]一种用基于IPTABLES的NFS网络存储安全加固方法

说明书

技术领域

本发明涉及NFS（网络文件系统）网络中的网络存储安全技术领域，特别涉及一种用基于IPTABLES的NFS网络存储安全加固方法。 

背景技术

传统的方法是在部署NFS网络存储服务器时首先确保NFS服务端的配置命令书写正确，确保没有语法错误；同时配合正确配置相关NFS共享目录的存取权限，比如是只读权限还是可读可写权限等。由于NFS在网络上明文传输所有信息，所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。 

NFS网络存储自身对安全有一定防护措施，比如：来自客户端的NFS请求的用户认证，由用户的UID（User Identification，用户身份证明）和所属组的GID（GroupIdentification群体身份）组成，这种文件访问的安全验证对于没有开NFS的系统当然是安全的；但是在网上，其它机器的root完全有权在自己的机器上设置这样一个UID，而NFS服务器不管这个UID是不是自己机器上的，只要UID符合，就赋予这个用户对这个文件的操作权。比如，目录/home/frank只能由UID为501的用户打开读写，而这个目录可以被远程机器mount，那么，这台机器的root用户新增一个UID为501的用户，然后用这个用户登录并mount该目录，就可以获得相当于NFS server上的UID为501用户操作权限，从而读写/home/frank。要解决这个问题必须正确配置exports，限制客户的主机地址，明确设置rw=host的选项，ro(只读)的选项和access=host的选项。 

发明内容

为了解决现有技术的问题，本发明提供了一种用基于IPTABLES的NFS网络存储安全加固方法，其通过Linux IPtables命令限制NFS服务器的端口访问来弥补传统方法的安全漏洞。 

本发明所采用的技术方案如下： 

一种用基于IPTABLES的NFS网络存储安全加固方法，是通过Linux IPtables命令限制NFS服务器的端口访问。

方法具体包括以下步骤： 

A、在IPtables中开放NFS服务；

B、定义IPtables规格。

本发明提供的技术方案带来的有益效果是： 

本发明的一种用基于IPTABLES的NFS网络存储安全加固方法，是在Linux操作系统中使用IPtalbes命令对NFS服务器提供的NFS服务进行安全加固，其弥补了传统方法的安全漏洞，增强了其安全性。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面对本发明实施方式作进一步地详细描述。 

实施例一 

本发明的方法通过以下步骤实现：

1、在IPtables中开放NFS服务

cat /etc/sysconfig/nfs |grep PORT

RQUOTAD_PORT=875

LOCKD_TCPPORT=32803

LOCKD_UDPPORT=32769

MOUNTD_PORT=892

STATD_PORT=662

STATD_OUTGOING_PORT=2020

2、定义IPtables规格

INPUT链中开放了服务器端的SSH和NFS服务

OUTPUT链中的规则允许主机访问FTP、Web、DNS及ping服务

# iptables –S

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 

-A INPUT -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT

-A INPUT -p udp -m state --state NEW -m udp --dport 111 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 892 -j ACCEPT

-A INPUT -p udp -m state --state NEW -m udp --dport 892 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT