Debian挂载网络驱动器的安全设置
小樊
37
2025-11-30 10:39:51
Debian挂载网络驱动器的安全设置
一 通用安全原则
- 使用最小权限:共享与挂载点只授予必要用户/主机访问;本地挂载点目录权限建议设为0750/0700,避免其他用户遍历或误写。
- 凭据与密钥保护:禁止在命令行明文写密码;使用受保护的凭据文件并设置600权限;优先采用Kerberos等强认证替代口令。
- 传输安全:优先启用SMB3 加密(seal)或NFSv4 + Kerberos krb5p链路加密;避免在不安全网络上使用明文协议。
- 访问控制:NFS 在服务端以CIDR精确放行客户端;SMB 共享基于共享权限与域/本地账号最小权限配置。
- 网络安全:限制访问源地址、启用防火墙、必要时使用VLAN/微隔离与主机加固;确保**DNS 与时间(NTP)**准确,Kerberos/SMB 对时钟敏感。
二 SMB CIFS 安全配置
- 安装客户端与准备凭据
- 安装工具:sudo apt update && sudo apt install cifs-utils
- 凭据文件示例(/etc/cifs-credentials):
- username=your_user
- password=your_pass
- domain=YOUR_DOMAIN
- 权限设置:sudo chown root:root /etc/cifs-credentials && sudo chmod 600 /etc/cifs-credentials
- 安全挂载选项要点
- 协议与加密:vers=3.1.1,seal(加密),默认启用SMB 签名;如域环境可用 sec=krb5(需加入域/获取TGT)
- 身份与多用户:cruid=$(id -u),multiuser(多用户映射各自凭据)
- 本地权限映射:uid/gid 指定最小权限用户;file_mode=0640,dir_mode=0750
- 缓存与一致性:cache=strict
- 示例:
- sudo mount -t cifs //server/share /mnt/smb -o vers=3.1.1,seal,cruid=$(id -u),uid=1000,gid=1000,file_mode=0640,dir_mode=0750,credentials=/etc/cifs-credentials
- 自动挂载与凭据保护
- /etc/fstab 示例:
- //server/share /mnt/smb cifs vers=3.1.1,seal,cruid=$(id -u),uid=1000,gid=1000,file_mode=0640,dir_mode=0750,credentials=/etc/cifs-credentials 0 0
- 先备份:sudo cp /etc/fstab /etc/fstab.bak;变更后用 mount -a 验证;凭据文件保持600且仅 root 可读。
三 NFS 安全配置
- 服务端(示例 /etc/exports)
- 精确网段放行:/data 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)
- 安全要点:优先使用sync;启用root_squash(禁止客户端 root 直通);必要时用all_squash将访问映射为匿名;按需细化到单个主机与权限
- 使配置生效:sudo exportfs -ra
- 客户端
- 安装工具:sudo apt install nfs-common
- 安全挂载选项
- 版本与认证:vers=4.1/4.2,sec=krb5p(链路加密);如仅域内可信网络可酌情使用 krb5/krb5i
- 一致性:建议 sync;可按需调优属性/目录缓存(acregmin/max、acdirmin/max)
- 示例:
- sudo mount -t nfs -o vers=4.1,sec=krb5p server.example.com:/export/data /mnt/nfs
- 自动挂载
- /etc/fstab 示例:
- server.example.com:/export/data /mnt/nfs nfs vers=4.1,sec=krb5p,sync 0 0
- 或采用 systemd.mount 单元以便更细粒度依赖与超时控制
- 防火墙与服务
- 放行服务:sudo firewall-cmd --permanent --add-service=nfs --add-service=rpc-bind --add-service=mountd && sudo firewall-cmd --reload
- 时间同步与域名解析:确保与 KDC/服务器时间一致、DNS 正确,避免 Kerberos/IDMAP 异常。
四 加固检查与运维
- 验证与审计
- 查看挂载与参数:mount | grep -E ‘cifs|nfs’;必要时 dmesg | grep -i CIFS/NFS
- 运行时状态:nfsstat -m、/proc/self/mountstats;SMB 可用 mount.cifs -v 提高日志级别
- 凭据安全:ls -l /etc/cifs-credentials 应为 600 root:root
- 本地目录权限:ls -ld /mnt/smb /mnt/nfs 建议 0750/0700,属主为最小权限业务账号
- 自动挂载与可用性
- 使用 systemd 管理可提升可靠性(After=network.target、超时与重试);变更 /etc/fstab 后用 mount -a 测试再重启
- 避免在生产环境使用过时或不安全选项(如 SMB1、NFSv3 明文)。
