Evitando vulnerabilidades em seu servidor NFS
Dica publicada em Linux / Sistema de Arquivos
Evitando vulnerabilidades em seu servidor NFS
Nosso amigo Lucas Diniz escreveu um artigo que mostra como compartilhar
diretórios entre máquinas Linux com o NFS:
em seguida, Eduardo Assis completou o tópico com seu artigo:
e inspirado no tema resolvi escrever essa dica, que fala sobre o vacina contra
a exploração de servidores NFS.
O artigo "NFS sem segredos" fala sobre exportar diretórios no arquivo /etc/exports da seguinte forma:
O artigo "NFS sem segredos" fala sobre exportar diretórios no arquivo /etc/exports da seguinte forma:
/downloads *(rw)
Ou seja, exporte o diretório /download para * (todos os hosts) com as opções rw (ler e escrever). Dessa forma, qualquer usuário a partir de qualquer host pode montar/explorar o compartilhamento do servidor.
A solução para esse tipo de vulnerabilidade é você restringir a gama de endereços IPs que podem acessar o NFS. Por exemplo, vamos supor que quero dar acesso total (ler e escrever) para a máquina 192.168.1.5 e acesso somente leitura para a máquina 192.168.1.6, vejam como ficaria meu exports:
/downloads 192.168.1.5(rw)
/downloads 192.168.1.6(ro)
/downloads 192.168.1.6(ro)
A página de manual do exports explica com maior detalhamento as opções de segurança
que podem ser aplicadas. Para acessá-la, digite:
man exports
[]'s,
Fábio Berbert de Paula
man exports
[]'s,
Fábio Berbert de Paula