LINUX下NFS的配置与安全设置

Redhat Linux NFS配置
    NFS简介:
    NFS是网络文件系统的简写(network file system),主要用在linux或unix环境中,是有sun公司开发,并于1984年推出的一个RPC服务系统。
    NFS功能介绍:
    他可以将多个目录或者单个目录进行发布,例如我们在网刻系统的时候可以用NFS来共享光盘镜像,NFS是以发布目录的方式将文件进行发布,而客户端是以挂载的方式进行访问。客户端可以节省本地空间,将数据存放在nfs服务器上。NFS也可以针对但个用户以及多用户设置不同的访问权限。
    详细配置步骤:
    安装NFS必须要开启的服务有:nfs、portmap、
    NFS的配置相对于其他服务是比较简单的,我们依然还是要注意防火墙以及SElinux,
    首先我们检查软件是否已安装,这里我已经都安装了。
    在安装redhat linux 时这些包默认就已被安装,如果你检查发现没有安装,可以使用一下命令进行安装;
    #rpm –ivh nfs*
    #rpm –ivh portmap
    配置NFS,配置文件在/etc/exports
    首先我们使用vim打开/etc/exports 我们会发现这是一个空文件,里面没有任何内容。如果没有此文件,我们可以新创建一个,
    这里我们举个例子来完成对NFS的配置,
    例如:公司有多台计算机,而其中只有一台服务器有光驱,而我们其他的计算机也想安装光盘上的软件,现在我们就可以用NFS来实现。例如我们的服务器光驱挂载在/media上,接下来我们来编辑配置文件来实现以上的功能。
    依然使用vi打开配置文件编辑以下内容:
    然后保存退出,这个文件里我们只需编辑俩个字段:前面的为共享目录,后面的为哪些人可以访问以及访问权限,*代表所有人(ro)为只读权限。
    启动服务
然后我们可以使用exportfs命令查询输出的目录
    客户端挂载
    需要启动服务 portmap
    使用mount命令挂载,例如我/下有nfs目录,我将挂载到nfs目录上
   
    然后我们就可以访问光盘目录了,
    反挂载使用umount /nfs
    我们还可以使用shoumount --export 192.168.0.7   查看NFS所发布的目录
    如果您想共享其他的目录也是安装同样的方法,注意权限问题,目录权限和共享权限。
    一些相关共享权限:
    ro 客户端为只读权限
    rw 客户端为读写权限
    root_sqush 客户端使用root访问时映射为nobady (默认选项)
    no_root_squash 客户端映射为root访问
    启动服务的其它方式:/etc/rc.d/init.d/portmap start   /etc/rc.d/init.d/nfs start
    部分配置文件细节
    exports文件内容格式:
    <输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]
    1.输出目录:
    输出目录是指NFS系统中需要共享给客户机使用的目录;
    2.客户端:
    客户端是指网络中可以访问这个NFS输出目录的计算机
    客户端常用的指定方式
    指定ip地址的主机 192.168.0.200
    指定子网中的所有主机 192.168.0.0/24
    指定域名的主机 a.liusuping.com
    指定域中的所有主机 *.liusuping.com
    所有主机 *
    3.选项:
    选项用来设置输出目录的访问权限、用户映射等。NFS主要有3类选项:
    访问权限选项
    设置输出目录只读 ro
    设置输出目录读写 rw
    用户映射选项
all_squash 将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody);
    no_all_squash 与all_squash取反(默认设置);
    root_squash 将root用户及所属组都映射为匿名用户或用户组(默认设置);
    no_root_squash 与rootsquash取反;
    anonuid=xxx 将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
    anongid=xxx 将远程访问的所有用户组都映射为匿名用 户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);
    其它选项
    secure 限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
    insecure 允许客户端从大于1024的tcp/ip端口连接服务器;
    sync 将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
    async 将数据先保存在内存缓冲区中,必要时才写入磁盘;
    wdelay 检查是否有相关的写操作,如果有则将这些写操作 一起执行,这样可以提高效率(默认设置);
    no_wdelay 若有写操作则立即执行,应与sync配合使用;
    subtree 若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
    no_subtree 即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率;
    /home/work 192.168.0.*(rw,sync,no_root_squash)
    内容表示:允许ip 地址范围在192.168.0.*的计算机以读写的权限来访问/home/work 目录。
    /home/work 也称为服务器输出共享目录。
    括号内的参数意义描述如下:
    rw:读/写权限,只读权限的参数为ro;
    sync:数据同步写入内存和硬盘,也可以使用async,此时数据会先暂存于内存中,而不立即写入硬盘。
    no_root_squash:NFS 服务器共享目录用户的属性,如果用户是 root,那么对于这个共享目录来说就具有 root 的权限。
    接着执行如下命令,启动端口映射:
    # /etc/rc.d/init.d/portmap start
    最后执行如下命令启动NFS 服务,此时NFS 会激活守护进程,然后就开始监听 Client 端的请求:
    # /etc/rc.d/init.d/nfs start
    用户也可以重新启动Linux 服务器,自动启动Linux NFS 服务。
    在NFS 服务器启动后,还需要检查Linux 服务器的防火墙等设置(一般需要关闭防火墙服务),确保没有屏蔽掉NFS 使用的端口和允许通信的主机,主要是检查Linux 服务器iptables,ipchains 等选项的设置,以及/etc/hosts.deny,/etc/hosts.allow 文件。
    我们首先在Linux 服务器上进行NFS 服务器的回环测试,验证共享目录是否能够被访问。在Linux 服务器上运行如下命令:
    # mount –t nfs 192.168.0.20:/home/work /mnt
    # ls /mnt
    命令将Linux 服务器的NFS 输出共享目录挂载到/mnt 目录下,因此,如果NFS 正常工作,应该能够在/mnt 目录看到/home/work 共享目录中的内容。
    客户端 mount命令   mount –t nfs 192.168.0.20:/home/work /mnt/nfs –o nolock
    简单脚本执行
    host启动nfs:
    snfs
    #!/bin/bash
    ifconfig eth0 192.168.0.20
    /etc/rc.d/init.d/portmap start
    /etc/rc.d/init.d/nfs start
    嵌入式目标机挂载nfs:
    mnfs:
    #!/bin/sh
    mount -t nfs 192.168.0.20:/home/work/nfs /mnt/nfs -o nolock
    echo "nfs ok!"
    在客户端查看NFS各种状态
    showmount -e 可看有分享哪些目录
    # showmount -a 可看出所有的 mount
    # showmount -e 172.16.75.1
    在服务端 显示当前主机NFS服务器中已经被NFS客户机挂载使用的共享目录    # showmount -d
    检查NFS的运行级别:
    # chkconfig --list portmap
    # chkconfig --list nfs
    根据需要设置在相应的运行级别自动启动NFS:
    # chkconfig --level 235 portmap on
    # chkconfig --level 235 nfs on
    客户端开机自动挂载
    通过修改/etc/fstab文件可以实现开机自动挂载nfs目录
    [root@linux-b nfs1]# vim /etc/fstab
    /dev/VolGroup00/LogVol00 /                       ext3    defaults        1 1
    LABEL=/boot             /boot                   ext3    defaults        1 2
    devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
    tmpfs                   /dev/shm                tmpfs   defaults        0 0
    proc                    /proc                   proc    defaults        0 0
    sysfs                   /sys                    sysfs   defaults        0 0
    /dev/VolGroup00/LogVol01 swap                    swap    defaults        0 0
    192.168.0.231:/nfs/frank        /mnt/nfs1       nfs     defaults        0 0
    1、在配置NFS服务器之前用ping命令确保两个linux系统正常连接,如果无法连接关闭图形界面中的防火墙#service iptables stop
    2、更改完“exports”文件后要输入exportfs –rv ,使得“exports”文件生效。
    3、检查nfs服务是否开启,默认是关闭的。

###############################################################################################################

一,应用环境介绍:

用途

操作系统

IP地址

服务器端

CentOS 5.2 X86_64

192.168.0.121

客户端

CentOS 5.2 X86_64

192.168.0.122

二,NFS相关软件的安装:

[root@youxia122 ~]# yum -y install portmap nfs*

三,服务器端配置:

1,创建共享的目录:

[root@youxia121 data]# mkidr /usr/local/data/

2,修改NFS配置文件:

[root@youxia121 data]# vi /etc/exports

/usr/local/data/ 192.168.0.122(rw,no_root_squash,no_all_squash,sync)

注:配置文件说明:

/usr/local/data/ 为共享的目录,使用绝对路径。

192.168.0.122(rw,no_root_squash,no_all_squash,sync) 为客户端的地址及权限,地址可以是一个网段,一个IP地址或者是一个域名,域名支持通配符,如:*.youxia.com,地址与权限中间没有空格,权限说明:

rw:read-write,可读写;

ro:read-only,只读;

sync:文件同时写入硬盘和内存;

async:文件暂存于内存,而不是直接写入内存;

no_root_squash:NFS客户端连接服务端时如果使用的是root的话,那么对服务端分享的目录来说,也拥有root权限。显然开启这项是不安全的。

root_squash:NFS客户端连接服务端时如果使用的是root的话,那么对服务端分享的目录来说,拥有匿名用户权限,通常他将使用nobody或nfsnobody身份;

all_squash:不论NFS客户端连接服务端时使用什么用户,对服务端分享的目录来说都是拥有匿名用户权限;

anonuid:匿名用户的UID值,通常是nobody或nfsnobody,可以在此处自行设定;

anongid:匿名用户的GID值。

NFS服务器配置:
        创建一个目录用于共享,然后再用vi /etc/exports编辑文件,在里面
添加内容,格式如下:
 [共享的目录] [主机名或ip(参数1,参数2)] [主机名或ip(参数1,参数2)] ...
NFS常用到的参数有:
 ro  只读
 rw  读写
 sync  所有数据在请求时写入共享
 async  nfs在写入数据前可以相应的请求
 secure  nfs通过1024以下端口发送
 insecure nfs通过1024以上端口发送
 wdenlay  有多个用户写入nfs目录,则归组写入
 no_wdelay 有多个用户写入nfs目录,则立即写入
 hide  不共享子目录
 no_hide  共享子目录
 subtree_check 如果共享/usr/bin之类的子目录,强制nfs检查父目录的权限
 no_subtree_check不检查父目录权限
 all_squash 共享文件的uid和gid映射匿名用户anonymous,适用公用目录
 no_all_squash 保留共享文件的uid和gid
 root_squash root用户的所有请求映射成和anonymous用户一样的权限
 no_root_squash root用户具有根目录的完全管理访问权限
 anonuid=xxx 指定nfs服务器/etc/passwd文件匿名用户的uid
 anongid=xxx 指定nfs服务器/etc/passwd文件匿名用户的gid
配置完成后要重启nfs服务例如:/etc/init.d/nfs restart

在linux客户机上要查看nfs资源可以用showmount -e 服务端ip地址,测试是否通讯成功

如果要用windows系统不能直接访问NFS服务器,如果要共享可以用samba服务器。

四,启动NFS服务器并进行测试:

1,启动NFS服务器:

[root@youxia121 data]# service portmap start

启动 portmap:[确定]

[root@youxia121 data]# service nfs start

启动 NFS 服务: [确定]

关掉 NFS 配额:[确定]

启动 NFS 守护进程:[确定]

启动 NFS mountd:[确定]

2,在客户端进行测试:

创建需要挂载的目录:

[root@youxia122 local]# mkdir /usr/local/data/

执行挂载命令:

[root@youxia122 local]# mount -t nfs 192.168.0.121:/usr/local/data /usr/local/data  -o proto=tcp -o nolock

在客户端创建一个测试文件并进行检查:

[root@youxia122 ~]# cd /usr/local/data/

[root@youxia122 data]# echo "this is a test" >> /usr/local/data/hehehe

[root@youxia122 data]# ll -h

总计 8.0K

-rw-r--r-- 1 root root 15 02-23 16:47 hehehe

在服务器端检查:

[root@youxia121 usr]# ll -h /usr/local/data/

总计 8.0K

-rw-r--r-- 1 root root 15 02-23 16:47 heheh

五,我在配置中遇到的问题:

1,在启动NFS服务器的时候遇到的一个问题如下,原因在于NFS配置文件中地址与权限中间多了一个空格,去掉空格重新启动即可:

[root@youxia121 local]# service nfs restart

关闭 NFS mountd:[确定]

关闭 NFS 守护进程:[确定]

关闭 NFS 服务: [确定]

启动 NFS 服务: exportfs: No options for /usr/local/data/ 192.168.0.122: suggest 192.168.0.122(sync) to avoid warning

exportfs: No host name given with /usr/local/data (rw,no_root_squash,no_all_squash,sync), suggest *(rw,no_root_squash,no_all_squash,sync) to avoid warning

[确定]

关掉 NFS 配额:[确定]

启动 NFS 守护进程:[确定]

启动 NFS mountd:[确定]

2,客户端在挂载的时候遇到的一个问题如下,可能是网络不太稳定,NFS默认是用UDP协议,换成TCP协议即可:

[root@youxia122 local]# mount -t nfs 192.168.0.121:/usr/local/data /usr/local/data

mount.nfs: Input/output error

解决方法:mount -t nfs 192.168.0.121:/usr/local/data /usr/local/data  -o proto=tcp -o nolock

本篇文章没有结论,只有思路。有兴趣的自己做做吧。


所有的事情都有个缘由的,这个事情我就比较烦。用来NFS,以前觉得简单,所以没有特别在意。这次想用NFS,并且打开iptables的情况下,就发现了问题。

问题描述:已经在Server端iptables上,打开portmap的端口111,后来得知NFS 4用的端口是2049,当时使用图形界面配置,所以也打开了。但是客户端就是错误。showmount -e serverIP的时候报mount clntudp_create: RPC: Port mapper failure - RPC: Unable to receive,关闭iptalbes就OK。再查,知道了。NFS和RPC的关系得知了一些NFS在2、3版本的时候的一些相关进程。(这些具体进程,可以看我的参考文档),总之,当使用3的版本时,要将相关联的端口打开。而那几个端口是随机的,如果想指定为固定端口,需要在/etc/sysconfig/nfs里面定义。而NFS 4的版本是不需要portmap的。但是需要配合krb5来做。很麻烦,都是思路。除非真的用。我是不想弄了。
写写思路就得了。

几个命令用得着:
man -k nfs
exportfs -r
nfsstat

引用

参考文档:
1: RHEL5 Deployment_Guide.eng.pdf
2: http://slackwiki.org/NFS_and_Firewall
3: http://www.guyong.cn/blog/article.asp?id=168
4: http://wiki.linux-nfs.org/wiki/index.php/Main_Page

忍不住,还是处理了。具体操作如下:


修改/etc/sysconfig/nfs
[root@kook ~]# grep -v ^# /etc/sysconfig/nfs
LOCKD_TCPPORT=4001
LOCKD_UDPPORT=4001
MOUNTD_PORT=4002
STATD_PORT=4003
[root@kook ~]# cat /etc/sysconfig/iptables
.................
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4001 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 4001 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4002 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 4002 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4003 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 4003 -j ACCEPT
.................

CentOS下NFS服务器配置实例相关推荐

  1. NFS笔记(二)NFS服务器配置实例

    一.NFS服务器配置实例 实验拓扑 二.实验要求及环境 2.1实验环境 NFS服务器 IP:192.168.8.5 环境: [root@server7 ~]# uname -a Linux serve ...

  2. RHEL5下NFS服务器配置与应用

    RHEL5下NFS服务器配置与应用 试验环境 1.一台安装有RHEL5的计算机: 2.系统安装盘: 试验内容 1.安装nfs软件包 2.配置nfs服务器 3.nfs服务器管理 4.客户端测试 试验步骤 ...

  3. CentOS下Samba服务器配置

    CentOS下Samba服务器配置 感谢http://www.linuxsir.org/main/?q=node/158#4提供参考 第一节.samba是干什么的?它有什么用? Samba(SMB是其 ...

  4. centos下mysql多实例安装3306、3307实例(2014-10-15)

    背景说明       mysql的安装方法有多种,如二进制安装.源代码编译安装.yum安装等.yum安装仅仅能安装mysql 5.1 版本号:源代码安装编译的过程比較长.若没有对源代码进行改动且要求使 ...

  5. Centos安装NFS服务器配置及挂载教程

    为什么80%的码农都做不了架构师?>>>    一.环境介绍: 服务器:centos 192.168.1.225 客户端:centos 192.168.1.226 二.安装: NFS ...

  6. CentOS 6.3下NFS安装配置

    CentOS 6.3下NFS安装配置 一.环境介绍   NFS服务器:CentOS6.3 192.168.8.20 NFS客户端:CentOS6.5 192.168.8.39 二.服务器端安装配置   ...

  7. RHEL5(CentOS)下nginx+php+mysql+tomcat+memchached配置全过程(转)

    RHEL5(CentOS)下nginx+php+mysql+tomcat+memchached配置全过程 一.准备工作:SSH,telnet终端中文显示乱码解决办法vi /etc/sysconfig/ ...

  8. CentOS下IPTABLES配置详解

    iptables是与Linux内核集成的IP信息包过滤系统,其自带防火墙功能,我们在配置完服务器的角色功能后,需要修改iptables的配置. 配置CentOS和Ubuntu等linux服务器时需要对 ...

  9. NFS服务器配置与管理笔记

    目录 1.概述 1.1)NFS简介 1.2)NFS工作机制 2.NFS的安装与启动 3.配置NFS服务 1.概述 1.1)NFS简介 NFS是Network File System的缩写,及网络文件系 ...

最新文章

  1. python程序实例源代码-python下10个简单实例代码
  2. 【安全漏洞】ProxyShell漏洞复现详解
  3. 几本推荐的Java书
  4. ​关于深度学习、NLP和计算机视觉的30个顶级Python库
  5. python 爬虫可视化编程_Python爬虫爬取博客实现可视化过程解析
  6. md5生成一个加盐程序c语言,MD5在编程中的实现 (C语言)
  7. python函数和方法的编写原则_跟老齐学Python之传说中的函数编写条规
  8. axis2开发webservice之编写Axis2模块(Module)
  9. 最优化学习笔记(十八)——拟牛顿法(4)DFP算法
  10. 商汤使用AutoML设计Loss函数,全面超越人工设计
  11. 随机过程中的功率谱密度
  12. 制药企业核算报表系统整体方案
  13. 连载:面向对象的葵花宝典:思维、技能与实践(40) - DECORATOR模式
  14. 安卓12使用VNET免ROOT抓包微信小程序
  15. 2005冬季转会名单-PS
  16. C51 数码管的动态显示 dynamic display method of digital tube
  17. WSA(win11子系统)安卓应用抢先体验
  18. ARM Cortex-M3
  19. 无法下载钉钉群内回放视频?
  20. securefx显示linux目录,使用secureFX连接到linux上需要在linux上配置什么

热门文章

  1. MATLAB——如何转换pointcloud格式并读取txt文件并赋值给矩阵
  2. 在一个PHP中调用另一个php函数,php调用函数 php如何调用函数?
  3. nysit 42 欧拉通路(一笔画图)
  4. C++ QT QTcpSocket基操
  5. mac brew 测速 软件_黄哥Python: Mac 下一些免费软件
  6. 贵州安装杆塔倾斜在线监测装置
  7. 计算机英语compiler,compiler是什么意思_compiler的翻译_音标_读音_用法_例句_爱词霸在线词典...
  8. Gromacs统计原子间距离,生成csv格式文件
  9. 办公室局域网访问共享文件夹
  10. 办公室打印机 局域网打印教程