NFS (Network File System) beveiliging NFS is een veelgebruikt protocol om bestanden te delen. Het staat
servers toe om nfsd en mountd te draaien om gehele
bestandssystemen te "exporteren" naar andere machines door gebruik te
maken van de ondersteuning van het NFS bestandssysteem dat is ingebouwd
in hun kernels (of een andere client ondersteuning als het geen Linux
machines zijn). mountd houdt de gemounte bestandssystemen bij in
/etc/mtab en kan ze tonen met showmount. Veel sites gebruiken NFS om gebruikers te voorzien van een home directory,
zodat ze, ongeacht vanaf welke machine in het cluster ze inloggen, allemaal
hun eigen bestanden hebben. Er is maar een kleine hoeveelheid beveiliging toegestaan bij het
exporteren van bestandssystemen. Je kunt je nfsd de remote root
gebruiker (uid=0) laten omzetten naar de nobody gebruiker,
waardoor totale toegang tot de bestanden die worden geëxporteerd wordt
ontzegt. Omdat individuele gebruikers echter toegang hebben tot hun eigen
bestanden (of op z'n minst met hetzelfde uid), kan de remote root gebruiker
inloggen (of su gebruiken om in te loggen) op hun account en totale
toegang hebben tot hun bestanden. Dit is slechts een kleine hindernis voor een
aanvaller die toegang heeft om je remote bestandssystemen te mounten. Als je NFS moet gebruiken, wees er dan zeker van dat je alleen exporteert
naar die machines waarnaar het echt nodig is. Exporteer nooit je gehele root
directory; exporteer alleen directory's die je moet exporteren. Bekijk de NFS HOWTO voor meer informatie over NFS, beschikbaar op