linux7 security,SECURITY-centos7下NFS使用与配置
NFS是Network File System的縮寫,即網(wǎng)絡(luò)文件系統(tǒng)。客戶端通過掛載的方式將NFS服務(wù)器端共享的數(shù)據(jù)目錄掛載到本地目錄下。
nfs為什么需要RPC?
因?yàn)镹FS支持的功能很多,不同功能會使用不同程序來啟動,因此,NFS對應(yīng)的功能所對應(yīng)的端口無法固定。
端口不固定造成客戶端與服務(wù)端之間的通信障礙,所以需要RPC來從中幫忙。
NFS啟動時會隨機(jī)取用若干端口,然后主動向RPC服務(wù)注冊取用相關(guān)端口和功能信息,RPC使用固定端口111來監(jiān)聽來自NFS客戶端的請求,
并將正確的NFS服務(wù)端口信息返回給客戶端,這樣客戶端與服務(wù)端就可以進(jìn)行數(shù)據(jù)傳輸了。
二、NFS的工作流程
1、由程序在NFS客戶端發(fā)起存取文件的請求,客戶端本地的RPC(rpcbind)服務(wù)會通過網(wǎng)絡(luò)向NFS服務(wù)端的RPC的111端口發(fā)出文件存取功能的請求。
2、NFS服務(wù)端的RPC找到對應(yīng)已注冊的NFS端口,通知客戶端RPC服務(wù)。
3、客戶端獲取正確的端口,并與NFS daemon聯(lián)機(jī)存取數(shù)據(jù)。
4、存取數(shù)據(jù)成功后,返回前端訪問程序,完成一次存取操作。
所以無論客戶端,服務(wù)端,需要使用NFS,必須安裝RPC服務(wù)。
NFS的RPC服務(wù),在Centos5及以前名為portmap,Centos6下名稱為rpcbind。
三、NFS服務(wù)安裝配置
nfs-utils、rpcbind
查看是否安裝NFS軟件包
rpm -qa nfs-utils rpcbind
yum install nfs-utils rpcbind
四、啟動rpcbind支持服務(wù)
查看服務(wù)狀態(tài)
systemctl status rpcbind.service
如果不知道rpcbind命令在哪
which rpcbind
啟動rpc服務(wù)
systemctl restart rpcbind.service
查看rpc
lsof -i :111
netstat -lntup|grep rpcbind
(如果出現(xiàn)-bash未找到命令可執(zhí)行下面命令)
yum install net-tools lsof
查看nfs服務(wù)向rpc注冊的端口信息
rpcinfo -p localhost
檢查rpcbind是否開機(jī)啟動
chkconfig --list rpcbind
五、啟動NFS服務(wù)
systemctl start nfs.service
查看狀態(tài)
systemctl status nfs.service
再次查看rpc注冊的端口信息
rpcinfo -p localhost
六、NFS常見進(jìn)程詳解
ps -ef|egrep "rpc|nfs"
rpc 101101 1 0 17:11 ? 00:00:00 /sbin/rpcbind -w
rpcuser 101188 1 0 17:22 ? 00:00:00 /usr/sbin/rpc.statd --no-notify
root 101190 2 0 17:22 ? 00:00:00 [rpciod]
root 101200 1 0 17:22 ? 00:00:00 /usr/sbin/rpc.idmapd
root 101201 1 0 17:22 ? 00:00:00 /usr/sbin/rpc.mountd
root 101206 2 0 17:22 ? 00:00:00 [nfsd4]
root 101207 2 0 17:22 ? 00:00:00 [nfsd4_callbacks]
root 101213 2 0 17:22 ? 00:00:00 [nfsd]
root 101214 2 0 17:22 ? 00:00:00 [nfsd]
root 101215 2 0 17:22 ? 00:00:00 [nfsd]
root 101216 2 0 17:22 ? 00:00:00 [nfsd]
root 101217 2 0 17:22 ? 00:00:00 [nfsd]
root 101218 2 0 17:22 ? 00:00:00 [nfsd]
root 101219 2 0 17:22 ? 00:00:00 [nfsd]
root 101220 2 0 17:22 ? 00:00:00 [nfsd]
root 101243 100830 0 17:28 pts/0 00:00:00 grep -E --color=auto rpc|nfs
nfsd(rpc.nfsd)主進(jìn)程,主要是管理客戶端能否登入服務(wù)端,登入者ID判別。
mountd(rpc.mountd)管理NFS文件系統(tǒng),登入者的權(quán)限管理
rpc.lockd(非必要)用來鎖定文件,用于客戶端同時寫入
rpc.statd(非必要)檢查文件一致性
rpc.idmapd 名字映射后臺進(jìn)程
七、配置NFS開機(jī)自啟動
chkconfig rpcbind on
chkconfig nfs on
chkconfig --list rpcbind
chkconfig --list nfs
八、NFS服務(wù)端配置
vi /etc/exports
exports文件配置格式:
NFS共享的目錄 NFS客戶端地址1(參數(shù)1,參數(shù)2,...) 客戶端地址2(參數(shù)1,參數(shù)2,...)
說明:
NFS共享目錄:
要用絕對路徑,可被nfsnobody讀寫。
NFS客戶端地址:
指定IP: 192.168.0.1
指定子網(wǎng)所有主機(jī): 192.168.1.0/24
指定域名的主機(jī): test.com
指定域名所有主機(jī): .test.com
所有主機(jī):
參數(shù):
ro:目錄只讀
rw:目錄讀寫
sync:將數(shù)據(jù)同步寫入內(nèi)存緩沖區(qū)與磁盤中,效率低,但可以保證數(shù)據(jù)的一致性
async:將數(shù)據(jù)先保存在內(nèi)存緩沖區(qū)中,必要時才寫入磁盤
all_squash:將遠(yuǎn)程訪問的所有普通用戶及所屬組都映射為匿名用戶或用戶組(nfsnobody)
no_all_squash:與all_squash取反(默認(rèn)設(shè)置)
root_squash:將root用戶及所屬組都映射為匿名用戶或用戶組(默認(rèn)設(shè)置)
no_root_squash:與rootsquash取反
anonuid=xxx:將遠(yuǎn)程訪問的所有用戶都映射為匿名用戶,并指定該用戶為本地用戶(UID=xxx)
anongid=xxx:將遠(yuǎn)程訪問的所有用戶組都映射為匿名用戶組賬戶
例如:
/data/tmp 192.168.1.0/24(rw,sync,all_squash)
創(chuàng)建需要共享的目錄
mkdir -p /data/tmp
chown nfsnobody.nfsnobody /data/tmp
重新加載nfs配置
exportfs -rv
查看nfs服務(wù)器掛載情況
showmount -e localhost
九、掛載測試
mkdir -p /data/tmp2
mount -t nfs 192.168.1.2:/data/tmp /data/tmp2
查看掛載
df -h
在tmp下創(chuàng)建文件
touch /data/tmp/a1.txt
查看tmp2下是否有文件
ls /data/tmp2
卸載掛載
umount /data/tmp2
十、NFS服務(wù)器涉及到需開放的端口
# firewall-cmd --permanent --add-port=111/tcp
# firewall-cmd --permanent --add-port=111/udp
# firewall-cmd --permanent --add-port=2049/tcp
# firewall-cmd --permanent --add-port=2049/udp
# firewall-cmd --permanent --add-port=1001/tcp
# firewall-cmd --permanent --add-port=1001/udp
# firewall-cmd --permanent --add-port=32803/tcp
# firewall-cmd --permanent --add-port=32769/udp
# firewall-cmd --permanent --add-port=892/tcp
# firewall-cmd --permanent --add-port=892/udp
防火墻操作
總結(jié)
以上是生活随笔為你收集整理的linux7 security,SECURITY-centos7下NFS使用与配置的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: nginx在linux reload报错
- 下一篇: linux printf 刷新,linu