解决showmount -e漏洞问题:
nfs-server服务器:172.16.10.211
172.16.10.211: /etc/exportfs文件内容:
/data1 172.16.10.210(rw,sync,no_root_squash)
172.16.10.210: 执行showmount -e 172.16.10.211
Export list for 172.16.10.211:
/data1 172.16.20.210
问题:当同网段其他服务器执行 showmount -e 172.16.10.211时,同样会看到共享信息
Export list for 172.16.10.211:
/data1 172.16.20.210
影响:NFS服务配置漏洞赋予了根目录远程可写权限,导致/root/.ssh/authorized_keys可被修改,实现远程ssh无密码登录。
解决方案:
通过hosts.allow和hosts.deny文件来限制挂载相关的权限。
访问顺序:nfs服务先读取/etc/hosts.allow文件内容,然后再读取/etc/hosts.deny文件内容来获取的nfs相关权限信息
hosts.allow内容:
mountd: 172.16.10.210 #只允许172.16.10.210挂载172.16.10.211服务器nfs共享的目录
hosts.deny内容:
mountd: all #拒绝所有服务器挂载172.16.10.211服务器nfs共享的目录
