במדריך זה נתמקד במושגי הרשת הבסיסיים של NFS, במיוחד היציאות המשמשות את שירותי NFS. לאחר שנבין את היציאות והשירותים הספציפיים של שיתוף NFS, נוכל להשתמש בהן כדי להגדיר אמצעי אבטחה כגון חומות אש ופתרון בעיות.
כיצד פועלת NFS
ישנן שלוש גרסאות של NFS הנתמכות בזמן כתיבת מאמר זה. NFS v2 הוא הוותיק ביותר והנתמך ביותר.
NFS v3 הוא חדש יותר מ- NFS V2 ומציע תכונות נוספות כגון טיפול בגודל משתנה, דיווח שגיאות משופר וכו '. עם זאת, NFS v3 אינו תואם ללקוחות NFS v2.
הגרסה העדכנית ביותר של NFS v4 מספקת תכונות חדשות ומשופרות. הם כוללים פעולות סטטוסיות, תאימות לאחור עם NFS v2 ו- NFS v3, דרישת portmapper שהוסרה, יכולת פעולה הדדית בין פלטפורמות, טיפול טוב יותר במרחב שמות, אבטחה מובנית עם ACL ו- Kerberos.
להלן השוואה בין NFS v3 ו- NFS v 4.
| תכונה | NFS v3 | NFS v4 |
| פרוטוקול תחבורה | TCP ו- UDP | UDP בלבד |
| טיפול בהרשאות | יוניקס | מבוסס Windows |
| שיטת אימות | Auth_Sys - חלש יותר | קרברוס (חזק) |
| אִישִׁיוּת | חסר מדינה | בסטטוס |
| סֵמַנטִיקָה | יוניקס | יוניקס וחלונות |
הטבלה למעלה מציגה כמה מהתכונות של פרוטוקול NFS 4 לעומת פרוטוקול NFS 3. אם ברצונך ללמוד עוד, שקול את המסמך הרשמי המופיע להלן:
https://datatracker.ietf.org/doc/html/rfc3530
NFS v4 אינו משתמש ב- portmapper ושירותים הנדרשים על ידי NFS V2 ו- V3 אינם נדרשים. לכן, ב- NFS v4, יש צורך ביציאה 2049 בלבד.
עם זאת, NFS v2 ו- v2 דורשים יציאות ושירותים נוספים, עליהם נדון במדריך זה.
שירותים נדרשים (NFS v2 ו- V3)
כאמור, NFS v2 & v3 משתמשים בשירות מפות פורט. שירות מפת הנמלים בלינוקס מטפל בשיחות הליך מרוחק, שבו NFS (v2 ו- v3) משתמש כדי לקודד ולפענח בקשות בין הלקוח לשרתים.
כדי ליישם שיתוף NFS, נדרשים השירותים הבאים. זכור כי הדבר מיועד רק ל- NFS v2 ו- v3.
- Portmapper
- Mountd
- Nfsd
- Lockd
- Statd
#: Portmapper
שירות Portmapper נדרש להפעלת NFS הן בלקוח והן בצד השרת. הוא פועל על פורט 111 הן לפרוטוקולי TCP והן ל- UDP.
אם אתה מיישם חומת אש, ודא שיציאה זו מותרת עבור מנות נכנסות ויוצאות.
#: מאונט
השירות הנוסף הנדרש להפעלת NFS הוא השד mountd. שירות זה פועל בשרת NFS ומשמש לטיפול בבקשות הרכבה מלקוחות NFS. הוא מטופל בעיקר על ידי שירות nfsd ואינו דורש הגדרת משתמש.
עם זאת, תוכל לערוך את התצורה כדי להגדיר יציאה סטטית בקובץ/etc/sysconfig/nfs. אתר את / והגדר:
MOUNTD_PORT=[נמל]#: NFSD
זהו שד NFS הפועל בשרתי NFS. זהו שירות קריטי שעובד עם ליבת לינוקס כדי לספק פונקציונליות כמו שרתי שרתי לכל הלקוחות המחוברים לשרת.
כברירת מחדל, שד ה- NFS כבר מוגדר להפעלת יציאה סטטית של 2049. היציאה נכונה הן בפרוטוקולי TCP והן ב- UDP.
#: Lockd & Statd
שד מנהל ה- NFS Lock Manager (lockd) ודמון Manager Status (statd) הם שירותים אחרים הנדרשים r להפעלת NFS. הדמונים האלה פועלים בצד השרת ובצד הלקוח.
שד הנעילה מאפשר ללקוחות NFS לנעול קבצים בשרת NFS.
מצד שני, שדון statd אחראי להודיע למשתמשים כאשר שרת NFS יופעל מחדש ללא כיבוי חינני. הוא מיישם את פרוטוקול ה- RPC של Monitor Network Monitor.
למרות ששני השירותים האלה מופעלים באופן אוטומטי על ידי שירות nfslock, אתה יכול להגדיר אותם להפעלת יציאה סטטית, שיכולה להיות שימושית בתצורות חומת אש.
הגדר יציאה סטטית עבור שדים statd ו- lockd, ערוך את/etc/sysconfig/nfs והזן את הערכים הבאים.
STATD_PORT=[נמל]LOCKD_TCPPORT=[נמל]
LOCKD_UDPPORT=[נמל]
סיכום מהיר
הבה נבחן סיכום מהיר של מה שסיקרנו זה עתה.
אם אתה מפעיל NFS v4, כל מה שאתה צריך הוא לאפשר יציאה 2049. עם זאת, אם אתה מפעיל NFS v2 או v3, עליך לערוך את הקובץ/etc/sysconfig/nfs ולהוסיף את היציאות לשירותים הבאים.
- Mountd - MOUNTD_PORT = יציאה
- Statd - STATD_PORT = יציאה
- LOCKD - LOCKD_TCPPORT = יציאה, LOCKD_UDPPORT = יציאה
לבסוף, עליך לוודא שהדמון NFSD פועל ביציאה 2049 וה- portmapper ביציאה 111
הערה: אם הקובץ/etc/sysconfig/nfs אינו קיים, צור אותו והוסף את הערכים שצוינו בהדרכה.
תוכל גם לבדוק את/var/log/messages אם שירות NFS אינו מופעל כראוי. ודא שהיציאות שציינת אינן בשימוש.
תצורה לדוגמה
להלן הגדרת תצורה של שרת NFS בשרת CentOS 8.
לאחר שתערוך את התצורה והוספת את היציאות הדרושות כפי שנדון בהדרכה, הפעל מחדש את השירות כ:
סודוsystemctl הפעל את nfs-server.serviceלאחר מכן, אשר את השירות פועל באמצעות הפקודה:
סודוסטטוס systemctl nfs-server.service 
לבסוף, אשר את היציאות הפועלות באמצעות rpcinfo כפי שמוצג בפקודה להלן:
סודוrpcinfo-p 
סיכום
הדרכה זו דנה ביסודות הרשת של פרוטוקול NFS והיציאות והשירותים הנדרשים הן ל- NFS v2, v3 והן ל- v4.
תודה שקראת & תהיה חנון גאה!