NFS服務的用戶身份映射

原文出處：https://blog.51cto.com/yttitan/2406403

NFS（Network File System，網絡文件系統）是一種在企業內部網絡使用比較廣泛的文件共享服務，主要用於Linux以及類UNIX系統之間的文件共享。它採用C/S工作模式，在NFS服務器上將某個目錄設置爲共享目錄，然後在客戶端可以將這個目錄掛載到本地使用。NFS服務誕生於上世紀80年代，雖然在CentOS7.6系統中採用的是目前最新的NFSv4版本，但由於NFS服務本身比較簡單，尤其是在權限設置方面功能比較弱，所以如果對NFS服務設置不當，將會在企業網絡中產生比較嚴重的安全隱患。本文就NFS服務的用戶身份映射問題進行了分析，並給出了推薦的配置和使用方法。文中準備了兩臺Linux虛擬機來搭建實驗環境，虛擬機所使用的操作系統版本爲CentOS7.6。其中名爲Server的虛擬機IP地址是192.168.80.10，名爲Client的虛擬機IP地址是192.168.80.101。

1. NFS的基本配置

NFS服務在CentOS7系統中默認已經安裝，但並未運行，因而首先需要在虛擬機Server中執行“systemctl start nfs”命令啓動服務，然後再執行“systemctl enable nfs”命令將服務設置爲開機自動運行。
在服務器端新建一個/var/share目錄，並在其中創建一個測試文件test.txt。

[root@server ~]# mkdir /var/share[root@server ~]# echo 'hello,world!' > /var/share/test.txt

下面將/var/share目錄設置爲NFS共享，並允許所有客戶端訪問。
NFS服務的主配置文件是/etc/exports，在/etc/exports文件中，每一行定義一個共享目錄。利用vi編輯器打開配置文件/etc/exports，在其中增加下面的一行：

[root@server ~]# vim /etc/exports/var/share  *(ro,sync)

在設置項中，“/var/share”表示要共享的目錄，“”表示所有客戶端都可以訪問該共享目錄，選項“ro”用於定義客戶端的權限爲read-only（只讀），選項“sync”表示啓用同步模式，可以將內存中的數據實時寫入到磁盤中。
修改完配置文件之後，重啓NFS服務生效。
[root@server ~]# systemctl restart nfs
然後在客戶端就可以將共享目錄掛載到本地使用。

[root@client ~]# mkdir /mnt/nfs                                 #創建掛載點目錄[root@client ~]# mount -t nfs 192.168.80.10:/common /mnt/nfs        #掛載共享目錄[root@client ~]# ls /mnt/nfs                                    #查看共享目錄中的文件test.txt

由於NFS服務本身並不具備用戶身份驗證的功能，而僅支持基於客戶端IP進行認證。也就是說，我們在對NFS服務進行權限設置時，不能針對用戶來分配權限，而只能針對客戶端IP進行權限分配。所以如果希望IP地址爲192.168.80.101的客戶端可以對共享目錄執行寫入操作，那麼可以在服務器端對配置文件進行如下修改，添加客戶端的IP，並設置權限選項爲“rw（read-write）”：

[root@server ~]# vim /etc/exports/var/share  *(ro,sync)   192.168.80.101(rw,sync)

修改完成後，需要重啓NFS服務生效。但是如果NFS共享正在被某些服務器使用的話，那麼NFS服務是不允許隨便重啓的，所以在CentOS系統中提供了exportfs命令，可以在不重啓NFS服務的情況下，重新加載/etc/exports文件，使得新的設置項生效。exportfs命令的常用選項有：-a（全部掛載或全部卸載）、-r（重新掛載）、-v（顯示詳細信息），通常都是將這三個選項組合使用。下面通過exportfs命令使得我們剛纔所做的設置生效。

[root@server ~]# exportfs -arvexporting 192.168.80.101:/var/shareexporting *:/var/share

在客戶端先將共享目錄卸載，然後再重新掛載，以使得服務器端的設置生效。但在對共享目錄進行寫入測試時失敗。

[root@Client ~]# umount /mnt/share                          #卸載共享目錄[root@Client ~]# mount 192.168.80.10:/var/share /mnt/share      #重新掛載共享目錄[root@Client ~]# touch /mnt/share/a.txt                     #寫入測試失敗touch: 無法創建"/mnt/share/a.txt": 只讀文件系統

這是由於雖然在服務器端的配置文件/etc/exports中設置了允許用戶對/var/share目錄具有讀寫權限，但在操作系統層面，用戶對/var/share目錄卻不具備寫入權限。因而要實現對共享目錄的寫入操作，必須要保證在NFS服務和操作系統兩個層面全部都具有寫入權限纔可以。
如何使得客戶端可以在操作系統層面對共享目錄具有寫入權限，這就要涉及到用戶身份映射問題。

2. 用戶身份映射的原理

NFS服務雖然不具備用戶身份驗證的功能，但是NFS提供了一種身份映射的機制來對用戶身份進行管理。當客戶端訪問NFS服務時，服務器會根據情況將客戶端用戶的身份映射成NFS匿名用戶nfsnobody。nfsnobody是由NFS服務在系統中自動創建的一個程序用戶賬號，該賬號不能用於登錄系統，專門用作NFS服務的匿名用戶賬號。

 [root@Server ~]# grep nfsnobody /etc/passwd        #查看nfsnobody用戶的信息。nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

所謂用戶身份映射，是指當客戶端訪問NFS服務器時，會自動被視作服務器中的nfsnobody用戶，並按照該用戶的權限設置去執行操作。但是並非所有的客戶端都會被映射爲nfsnobody用戶，在/etc/exports配置文件中提供了以下選項，以決定是否將NFS客戶端映射爲nfsnobody用戶：

• root_squash，當NFS客戶端以root用戶身份訪問時，映射爲NFS服務器的nfsnobody用戶。

• no_root_squash，當NFS客戶端以root身份訪問時，映射爲NFS服務器的root用戶，也就是要爲超級用戶保留權限。這個選項會留下嚴重的安全隱患，一般不建議採用。

• all_squash，無論NFS客戶端以哪種用戶身份訪問，均映射爲NFS服務器的nfsnobody用戶。
  其中默認值是root_squash，即當客戶端以root用戶的身份訪問NFS共享時，在服務器端會自動被映射爲匿名賬號nfsnobody。
  下面將分幾種情況分別予以說明。

  3. root用戶的身份映射

  我們之前之所以無法在客戶端執行寫入操作，是因爲還沒有在系統層面賦予nfsnobody用戶對共享目錄/var/share具有寫入權限。這裏通過設置ACL規則賦予nfsnobody用戶rwx權限。
  `[root@Server ~]# setfacl -m u:nfsnobody:rwx /var/share``
  然後在客戶端重新掛載共享目錄，並測試能否寫入。

  [root@Client ~]# umount /mnt/share[root@Client ~]# mount -t nfs 192.168.80.10:/var/share /mnt/share[root@Client ~]# touch /mnt/share/b.txt

  可以看到此時客戶端可以寫入，並且所創建文件的所有者正是nfsnobody。

  [root@Client ~]# ll /mnt/share/b.txt-rw-r--r--. 1 nfsnobody nfsnobody 0 3月  21 07:39 /mnt/share/b.txt

  由於客戶端當前所使用的用戶身份是root，默認情況下，當客戶端訪問NFS服務器時，在服務器端會將其用戶身份映射爲nfsnobody，所以在服務器端只要賦予nfsnobody用戶對共享目錄具有寫入權限，那麼客戶端自然就可以寫入了。
  下面我們再驗證一下no_root_squash設置項，即root用戶不進行身份映射。
  首先在服務器端修改配置文件/etc/exports，爲/var/share共享目錄添加no_root_squash選項。

  [root@server ~]# vim /etc/exports           #修改配置文件/var/share *(rw,no_root_squash,sync)
  [root@Server ~]# exportfs  -arv             #重新加載服務exporting *:/var/share

  然後去掉對共享目錄/var/share所設置的ACL規則，取消nfsnobody用戶對該目錄的寫入權限。
  [root@Server ~]# setfacl -b /var/share
  最後在客戶端重新掛載共享目錄，並測試能否寫入。

  [root@Client ~]# umount /mnt/share[root@Client ~]# mount -t nfs 192.168.80.10:/var/share /mnt/share[root@Client ~]# touch /mnt/share/c.txt[root@Client ~]# ll /mnt/share/c.txt -rw-r--r--. 1 root root 0 4月  14 17:08 /mnt/share/c.txt

  可以發現，此時客戶端仍然是可以寫入的。因爲對於NFS服務器而言，訪問共享目錄的客戶端就是服務器中的root用戶，對共享目錄具有完全權限。所以no_root_squash選項會產生很大的安全隱患，一般情況下都不建議採用。

  4. 普通用戶的身份映射

  如果客戶端所使用的用戶身份不是root，而是一個普通用戶，那麼默認情況下在服務器端會將其視作其它用戶（other）。下面在客戶端以普通用戶的身份繼續進行測試。
  首先在服務器端修改配置文件/etc/exports，將共享目錄/var/share中的no_root_squash選項去掉，重新加載服務之後，再次通過設置ACL規則的方式賦予nfsnobody用戶讀寫執行權限。

  [root@server ~]# vim /etc/exports       #修改配置文件/var/share *(rw,sync)
  [root@Server ~]# exportfs  -arv         #重新加載服務exporting *:/var/share#通過設置ACL賦予nfsnobody用戶rwx權限[root@Server ~]# setfacl -m u:nfsnobody:rwx /var/share

  在客戶端重新掛載共享，並測試以root用戶身份可以正常寫入。

  [root@Client ~]# umount /mnt/share[root@Client ~]# mount 192.168.80.10:/var/share /mnt/share[root@Client ~]# touch /mnt/share/d.txt[root@Client ~]# ll /mnt/share/d.txt -rw-r--r--. 1 nfsnobody nfsnobody 0 4月  14 17:29 /mnt/share/d.txt

  下面在客戶端創建一個admin用戶，並設置密碼。

  [root@Client ~]# useradd admin[root@Client ~]# echo 123 | passwd --stdin admin

  切換到admin用戶身份，嘗試向共享目錄中寫入文件，寫入失敗，但是可以讀取目錄中的內容。因而如果客戶端是以普通用戶的身份訪問NFS共享，那麼默認情況下在服務器端並不將其映射爲nfsnobody，而是視作其他用戶（other）。

  [root@Client ~]# su - admin[admin@Client ~]$ touch /mnt/share/e.txttouch: 無法創建"/mnt/share/e.txt": 權限不夠
  [admin@Client ~]$ cat /mnt/share/e.txt

  下面在服務器端繼續修改配置文件/etc/exports，在共享設置中添加“all_squash”選項，將所有客戶端用戶均映射爲nfsnobody。

  [root@server ~]# vim /etc/exports           #修改配置文件/var/share *(rw,sync,all_squash)
  [root@Server ~]# exportfs  -arv             #重新加載服務exporting *:/var/share

  然後在客戶端再次重新掛載共享（具體操作從略），此時以admin用戶身份就可以寫入了，並且可以發現所創建文件的所有者同樣是nfsnobody。

  [admin@Client ~]$ touch /mnt/share/e.txt
  [admin@Client ~]$ ll /mnt/share/e.txt 
  -rw-rw-r--. 1 nfsnobody nfsnobody 0 4月  14 17:37 /mnt/share/e.txt

  5. 用戶身份重疊

  在使用NFS共享的過程中，有時還可能會遇到用戶身份重疊的問題。所謂用戶身份重疊，是指在NFS服務採用默認設置（用戶身份映射選項爲root_squash）時，如果在服務器端賦予某個用戶對共享目錄具有相應權限，而且在客戶端恰好也有一個具有相同uid的用戶，那麼當在客戶端以該用戶身份訪問共享時，將自動具有服務器端對應用戶的權限。下面舉例予以說明。
  首先在服務器端將/var/share共享還原爲默認設置，並且取消/var/share目錄針對nfsnobody用戶的ACL規則，具體操作從略。
  假設服務器端存在一個名爲teacher的用戶賬號，uid爲1246，將該用戶設置爲共享目錄的所有者。

  [root@Server ~]# id teacher                 #查看teacher用戶的身份信息`uid=1246(teacher) gid=1246(teacher) 組=1246(teacher#將teacher用戶設置爲/var/share目錄的所有者[root@Server ~]# chown teacher /var/share[root@Server ~]# ll -d /var/sharedrwxr-xr-x. 2 teacher root 45 4月  14 17:37 /var/share

  下面在客戶端進行操作。首先仍是重新掛載共享目錄，然後將原先admin用戶的uid也改爲1246。

  [root@Client ~]# usermod -u 1246 admin[root@Client ~]# id adminuid=1246(admin) gid=1002(admin) 組=1002(admin)

  然後以admin用戶身份測試能否對共享目錄執行寫入操作，發現可以正常寫入，並且所創建文件的所有者是admin。

  [root@Client ~]# su - admin[admin@Client ~]$ touch /mnt/share/f.txt
  [admin@Client ~]$ ll /mnt/share/f.txt
  -rw-rw-r--. 1 admin admin 0 4月  14 17:47 /mnt/share/f.txt

  在服務器端查看admin用戶所創建的文件，發現所有者則是teacher。

  [root@Server ~]# ll /var/share/f.txt -rw-rw-r--. 1 teacher 1002 0 4月  14 17:47 /var/share/f.txt

  這是因爲對於Linux系統而言，區分不同用戶的唯一標識就是uid，至於用戶名只是爲了方便人類理解。所以在系統層面，無論是teacher用戶還是admin用戶，只要他們的uid一樣，就認爲是同一個用戶。但也正是因爲這個原因，纔會導致出現用戶身份重疊的問題，對於NFS服務而言，這也是一個比較嚴重的安全隱患。
  如何避免用戶身份重疊呢？可以從以下兩個方面着手：

• 一是在設置NFS共享時，建議採用“all_squash”選項，將所有客戶端用戶均映射爲nfsnobody。這樣就可以有效避免用戶身份重疊的問題。

• 二是應嚴格控制NFS共享目錄的系統權限，儘量不用爲普通用戶賦予權限。