配置安全的网络nfs文件共享服务

由于本人是使用的rhce模拟考试环境来做的本题目,所以文中说到的实验脚本和评分脚本,以及krb5.keytab文件只有我本套环境独有,如果自己做练习可以不去使用实验脚本和评分脚本,直接进行配置服务并挂载就可以。

对此套环境有兴趣的朋友可以给我留言,看到必回复。

1、首先

服务端(server0)和客户端(desktop0)执行实验脚本

[root@server0 ~]# lab nfskrb5 setup

[root@desktop0 ~]# lab nfskrb5 setup

2、配置服务端(server0)

2.1 下载kerberos秘钥

[root@server0 ~]# wget -O /etc/krb5.keytab http://classroom.example.com/pub/keytabs/server0.keytab

---- ::--  http://classroom.example.com/pub/keytabs/server0.keytab

Resolving classroom.example.com (classroom.example.com)... 172.25.254.254

Connecting to classroom.example.com (classroom.example.com)|172.25.254.254|:... connected.

HTTP request sent, awaiting response...  OK

Length:  (.2K)

Saving to: ‘/etc/krb5.keytab’

%[==============================================================================>] ,       --.-K/s   in 0s      

-- :: ( MB/s) - ‘/etc/krb5.keytab’ saved [/]

2.2 修改nfs配置文件

[root@server0 ~]# vim /etc/sysconfig/nfs

...

RPCNFSDARGS="-V 4.2"

...

使用4.2版本,nfs挂载的时候可以将selinux安全上下文同时导出

2.3 启动nfs-secure-server服务并设置开机自动启动

[root@server0 ~]# systemctl start nfs-secure-server

[root@server0 ~]# systemctl enable nfs-secure-server

ln -s '/usr/lib/systemd/system/nfs-secure-server.service' '/etc/systemd/system/nfs.target.wants/nfs-secure-server.service'

[root@server0 ~]#

2.4 创建共享文件夹并且将文件夹写入/etc/exportfs文件中

[root@server0 ~]# mkdir /securenfs

[root@server0 ~]# chown nfsnobody /securenfs/

[root@server0 ~]# ll -d !$

ll -d /securenfs/

drwxr-xr-x.  nfsnobody root  Apr  : /securenfs/

[root@server0 ~]# vim /etc/exports

...

/securenfs desktop0(sec=krb5p,rw)

...

[root@server0 ~]# exportfs -r

[root@server0 ~]# exportfs

/securenfs        desktop0.example.com

2.5 配置防火墙

[root@server0 ~]# firewall-cmd --permanent --add-service=nfs

success

[root@server0 ~]# firewall-cmd --reload

success

[root@server0 ~]# firewall-cmd --list-all

public (default, active)

  interfaces: eth0

  sources:

  services: dhcpv6-client nfs ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

3、配置客户端(dekstop0)

3.1 下载秘钥文件

[root@desktop0 ~]# wget -O /etc/krb5.keytab http://classroom.example.com/pub/keytabs/desktop0.keytab

3.2 启动nfs-secure 服务并开机自启动

[root@desktop0 ~]# systemctl enable nfs-secure

ln -s '/usr/lib/systemd/system/nfs-secure.service' '/etc/systemd/system/nfs.target.wants/nfs-secure.service'

[root@desktop0 ~]# systemctl start nfs-secure

3.3 创建挂载点并设定开机自动挂载

[root@desktop0 ~]# mkdir /mnt/secureshare

[root@desktop0 ~]# vim /etc/fstab 

server0:/securenfs /mnt/secureshare     nfs     defaults,rw,v4.,sec=krb5p

4、测试

4.1 在server0上建立测试文件

[root@server0 ~]# echo "Hello World" >> /securenfs/testfile.txt

临时更改该文件的selinux安全上下文,更改文件的拥有者和权限

[root@server0 ~]# chcon -t public_content_t /securenfs/testfile.txt

[root@server0 ~]# chown ldapuser0:ldapuser0 /securenfs/testfile.txt

[root@server0 ~]# chmod  /securenfs/testfile.txt

[root@server0 ~]# ll -Z !$

ll -Z /securenfs/testfile.txt

-rw-r--r--. ldapuser0 ldapuser0 unconfined_u:object_r:public_content_t:s0 /securenfs/testfile.txt

[root@server0 ~]#

4.2 desktop0查看该文件

因为前边加了-V 4.2的参数,所以public_content_t这个规则也被挂载过来来了

[root@desktop0 ~]# ll -Z /mnt/secureshare/testfile.txt

-rw-r--r--. ldapuser0 ldapuser0 unconfined_u:object_r:public_content_t:s0 /mnt/secureshare/testfile.txt

[root@desktop0 ~]#

4.3用ldapuser0用户测试向该文件写入内容

[root@desktop0 ~]# ssh ldapuser0@localhost

ldapuser0@localhost's password:

Creating home directory for ldapuser0.

[ldapuser0@desktop0 ~]$ echo "I'm write" >> /mnt/secureshare/testfile.txt

[ldapuser0@desktop0 ~]$ cat !$

cat /mnt/secureshare/testfile.txt

Hello World

I'm write

[ldapuser0@desktop0 ~]$

用管理员用户写入无法写入该文件

[root@desktop0 ~]# echo "test" >> /mnt/secureshare/testfile.txt

-bash: /mnt/secureshare/testfile.txt: Permission denied

[root@desktop0 ~]#

因为当前是用kerberos安全认证

5、提交评分脚本

[root@server0 ~]# lab nfskrb5 grade

Grading Kerberos NFS...

Checking correct krb5.keytab exists... PASS

Checking for correct RPCNFSDARGS... PASS

Checking nfs-secure-server service is started... PASS

Checking nfs-server service is enabled... PASS

Checking /securenfs directory exists... PASS

Checking for correct /etc/exports file... PASS

Checking if the server knows about the exported directory... PASS

Overall result: PASS

Congratulations! You've passed all requirements.

[root@desktop0 ~]# lab nfskrb5 grade

Grading exercise Kerberos NFS...

Checking correct krb5.keytab exists... PASS

Checking nfs-secure service is started... PASS

Checking nfs-secure service is enabled... PASS

Checking /mnt/secureshare directory exists...PASS

Checking for correct /etc/fstab entry for the secure export...PASS

Checking for mounted nfs share ...PASS

Overall result: PASS

Congratulations! You've passed all requirements

  

Linux nfs使用krb5的方式安全挂载的更多相关文章

  1. Linux NFS挂载

    Linux NFS挂载 一.NFS挂载 192.25.10.101/home/sharedata/azkaban/ODS_HS08 挂载到 192.25.10.102/home/data_azkaba ...

  2. linux nfs服务配置挂载以及oracle使用nfs存储挂载注意事项

    服务端共享目录 /home/XXX/nfs_shared 172.16.22.0/24(rw,no_root_squash) service nfs restart 常用命令: 查看所有nfs共享目录 ...

  3. Linux NFS服务器的安装与配置

    一.NFS服务简介 NFS 是Network File System的缩写,即网络文件系统.一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布.功能是通过网络让不同的机器.不同的操 ...

  4. (转)Linux NFS服务器的安装与配置

    转自:http://www.cnblogs.com/mchina/archive/2013/01/03/2840040.html 由于在6系列里面,portmap已经改名了 ,6系列需要使用 serv ...

  5. 【转载】Linux NFS服务器的安装与配置

    一.NFS服务简介 NFS 是Network File System的缩写,即网络文件系统.一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布.功能是通过网络让不同的机器.不同的操 ...

  6. Linux NFS服务器的安装与配置(转载)

    一.NFS服务简介 NFS 是Network File System的缩写,即网络文件系统.一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布.功能是通过网络让不同的机器.不同的操 ...

  7. Linux NFS存储服务部署

    什么是NFS 中文意思是网络文件系统,主要功能是通过网络(一般是局域网)让不同主机之间可以共享文件或目录 NFS属于本地文件存储服务 缺点1: 1 2 3 4 5 6 7 windows上无法使用   ...

  8. Linux 基础教程 33-硬盘分区及挂载

    挂载命令     在Windows系统中如果插入了U盘.移动硬盘.光驱等,只要能被Windows系统识别出来,则系统会进行自动挂载并添加盘符,然后我们就可以访问,而这一切均由系统完成,用户并不需要做任 ...

  9. Linux NFS服务器的简明配置6.8

    Linux NFS服务器的简明配置6.8   Linux NFS服务器的简明配置 一.NFS服务简介 NFS 是Network File System的缩写,即网络文件系统.一种使用于分散式文件系统的 ...

随机推荐

  1. final link failed: Nonrepresentable section on output

    编译live555的时候遇到了这个问题,前面的编译没有问题,是在链接的时候出现的,在网上搜索说是缺少 libstdc++ 库.于是,安装之 #sudo apt-get install  libstdc ...

  2. 图解 (a + b) * (a + b) == a**2 + 2*a*b + b**2

    示意图

  3. iOS移动开发CoreDate讲解

    ----欢迎------- 在移动端开发,数据持久化保存是基本要素,没钱在2014年之后退出了coredate,本持久化基于oc作为开发,方便程序人员操作.与SQL数据库,MySQL相比,优点颇多. ...

  4. Linux下Oracle开机启动

    参考:http://blog.csdn.net/huangyanlong/article/details/36942155 一.保证dbstart能用:vi $ORACLE_HOME/bin/dbst ...

  5. React基础概念

    Hello Wrold ReactDOM.render( <h1>Hello, world!</h1>, document.getElementById('root') ); ...

  6. 关于Jupyter Notebook快捷操作

    Jupyter Notebook 的快捷键 Jupyter Notebook 有两种键盘输入模式.编辑模式,允许你往单元中键入代码或文本:这时的单元框线是绿色的.命令模式,键盘输入运行程序命令:这时的 ...

  7. Jquery取小数后边2位,N位;jQuery去掉字符串首尾空字符串

    function fix(num, N) { , N); return Math.round(num * base) / base; } 实例,取小数后边两位 var yhmoney2 = fix(1 ...

  8. centos mysql 默认是区分大小写的,修改成不区分大小写

    修改mysql为不区分大小写设置: [root@test-huanqiu ~]# vim /etc/my.cnf //添加下面一行设置 .... [mysqld] lower_case_table_n ...

  9. LeetCode 101. Symmetric Tree 判断对称树 C++

    Given a binary tree, check whether it is a mirror of itself (ie, symmetric around its center). For e ...

  10. sql day2

    -- 数据的准备 -- 创建一个数据库 create database python_test charset=utf8; -- 使用一个数据库 use python_test; -- 显示使用的当前 ...