NFS security

Il protocollo NFS presenta varie problematiche di sicurezza legate soprattutto all'uso di RPC.
Il metodo più sicuro per utilizzare NFS è quello di limitarne l'uso in network considerate trusted e di appoggiarsi a servizi di firewalling ed a una configurazione molto limitativa dal punto di vista dei permessi di accesso alle risorse.
Di fatto nella gran parte dei casi non serve e non ha senso avere un server NFS raggiungibile direttamente via Internet, per cui già molte delle minacce possibili possono venir escluse da meccanismi di limitazione di accesso che prescindono dal server stesso e dalla sua configurazione.

Riassumendo:

- Installare e utilizzare l'ultima versione di nfs-utils oltre che un kernel aggiornato.
Verificare i vari aggiornamenti del kernel su www.kernel.org e appoggiarsi a siti come www.incidents.org o www.cert.org per la verifica di BUGS sui protocolli NFS e RPC.

- Esportare i filesystem in sola lettura, se possibile, ed a un limitato numero di host considerati trusted.
Configurare il proprio /etc/exports aggiungendo le opzioni ro per la sola lettura del filesystem esportato e limitare l'uso di wildcards per le definizioni di chi dovrà accedere alle risorse. Inoltre è bene poter utilizzare l'opzione root_squash ove è possibile, per limitare l'accesso alle risorse con UID di root.

- Lato client si può limitare l'esecuzione dei binari ed evitare la possibilità di lanciare comandi con SuID root tramite le opzioni noexec e nosuid da specificare nelle opzioni del comando di mount o nel file di configurazione /etc/fstab.

- Verificare che l'export list non ecceda i 256 caratteri.
Alcuni sistemi operativi ingnorerebbero la completa export list. [Advisory CA-94:02]

- Filtrare i pacchetti UDP e TCP  porte 2049 (nfs) 111 (rpc) provenienti dall'esterno o da network da cui non si prevede il mounting di export nfs.

- Se possibile e veramente necessario incapsulare il protocollo NFS con SSH (SNFS) per criptare i dati in transito.
Tramite il protocollo SSHv2 è possibile fare un tunneling per il protocollo NFS over UDP.
Maggiori informazioni e documentazione sono reperibili al seguente indirizzo:
http://www.math.ualberta.ca/imaging/snfs/

- Utilizzare Auditing tools come Nessus, nmapo SATAN per eseguire test e verificare possibili vulnerabilità o errori di configurazione.

Privacy Policy