5.4. Sécurisation de NFS
Le système de fichiers réseau (ou NFS, de l'anglais Network File System) est un service qui fournit des systèmes de fichiers accessibles par réseau à des ordinateurs clients. Pour davantage d'informations sur le fonctionnement de NFS, reportez-vous au chapitre intitulé Système de fichiers réseau (NFS) du Guide de référence de Red Hat Enterprise Linux. Pour obtenir de plus amples informations sur la configuration de NFS, consultez le Guide d'administration système de Red Hat Enterprise Linux. Les sous-sections suivantes supposent que le lecteur dispose de connaissances élémentaires sur NFS.
 | Important |
|---|---|
La version de NFS incluse dans Red Hat Enterprise Linux, NFSv4, n'a plus besoin du service portmap comme l'explique la Section 5.2. Le trafic NFS utilise désormais TCP dans toutes les versions, au lieu de UDP, et en a besoin lors de l'utilisation de NFSv4. NFSv4 inclut désormais l'authentification d'utilisateurs et de groupes Kerberos, faisant partie du module de noyau RPCSEC_GSS. Des informations sur portmap sont toujours incluses, vu que Red Hat Enterprise Linux prend en charge NFSv2 et NFSv3 qui l'utilisent. |
5.4.1. Planifier prudemment le réseau
Puisque NFSv4 peut désormais transmettre toutes les informations sur le réseau de manière non-cryptée à l'aide de Kerberos, il est important que le service soit configuré correctement si il se trouve derrière un pare-feu ou sur un réseau segmenté. NFSv2 et NFSv3 transmettent toujours des données de manière non-sécurisée et vous devriez faire attention. À cet égard, une conception prudente de réseau peut aider à lutter contre des brèches de sécurité.
5.4.2. Attention aux erreurs de syntaxe
Le serveur NFS détermine quels systèmes de fichiers à exporter et quels hôtes doivent recevoir ces répertoires au moyen du fichier /etc/exports. Faites bien attention de ne pas ajouter d'espaces superflus lors de la modification du fichier.
Par exemple, la ligne suivante présente dans le fichier /etc/exports permet le partage du répertoire /tmp/nfs/ avec l'hôte bob.example.com avec des permissions de lecture et écriture.
/tmp/nfs/ bob.example.com(rw) |
En revanche, la ligne suivante dans le fichier /etc/exports permet le partage du même répertoire d'une part avec l'hôte bob.example.com avec des permissions de lecture-seule et d'autre part avec tout le monde avec des permissions de lecture et écriture, et ce en raison d'un seul espace ajouté après le nom d'hôte.
/tmp/nfs/ bob.example.com (rw) |
Il est donc bon de toujours vérifier tout partage NFS configuré en utilisant la commande showmount afin d'obtenir une idée claire des éléments offerts en partage.
showmount -e <hostname> |
5.4.3. N'utilisez pas l'option no_root_squash
Par défaut, les partages NFS changent la propriété de fichiers appartenant au super-utilisateur à celle de l'utilisateur nfsnobody (personne), un compte d'utilisateur sans privilèges. De cette manière, tous les fichiers créés par le super-utilisateur appartiennent à l'utilisateur nfsnobody, ce qui évite le téléchargement de programmes avec le bit setuid défini.
Si no_root_squash est utilisé, les super-utilisateurs à distance pourront changer tout fichier sur le système de fichiers partagé et laisser des applications avec des chevaux de Troie que d'autres utilisateurs pourraient exécuter par inadvertance.