绿盟安全月刊->第18期->技术专题 NFS和NIS安全

作者：Kristy Westphal
整理：backend < mailto: backend@nsfocus.com >
主页：http://www.nsfocus.com
日期：2001-02-05

--[ 简介 ]----------------------------

为什么几乎所有关于Solaris安全的书籍和文章都会非常明确地写到：关闭NFS和
NIS服务？虽然如此，但有些系统管理员却无法关闭这些服务，因为已经有些网
络应用必需它们。虽然NFS和NIS的安全问题存在于其服务结构中，是与生俱来的，
然而仍然可以通过一些方法使其变得相对更安全些。


--[ 什么是NFS ]----------------------------

基于RPC（remote procedure call）协议的网络文件系统是由Sun Microsystems
公司最早于1980年实现的，用于在异种UNIX操作系统共享文件。NFS的客户端/服
务器实现结构使得远程磁盘对于本地客户端是透明可见的。它通过几个守护进程
和配置文件来实现文件共享。缺省地，整个过程没有使用独立的认证方法，从而
造成了NFS的安全问题。（参见图1）

         NIS                  NFS  
                   RPC  
    XDR- External Data Representation  
            Internet Protocol  
    Network Transport (e.g. Ethernet)  

             图 1－NFS协议栈

它是如何工作的呢？由于NFS运行于面向无连接（不需要对传输数据包进行任何
确认）的UDP协议上，NFS则试图强迫对它发送的每一个命令进行确认。如果收到
确认，则继续发送数据。如果在特定时间内未收到确认，数据将被重传。