NFS服務器資源使用問題

前面我們講解了NFS億恩科技服務器的安裝和配置問題。這里我們主要討論一下NFS安全問題以及資源使用的問題。那么首先讓我們關注一下NFS的安全問題。那么在一些防火墻的配置中，我們可以進行一下操作。

　　NFS安全問題：

　　1 Iptables 防火墻

　　如果我們的NFS億恩科技服務器在防火墻后邊，則需要在防火強策略中加入如下策略：

　　1.-A INPUT -p tcp -m state --state NEW -m multiport --dport 111,2049,4001,32764:32767 -j ACCEPT

　　2.-A INPUT -p udp -m state --state NEW -m multiport --dport 111,2049,4001,32764:32767 -j ACCEPT

　　2 使用 /etc/hosts.allow和/etc/hosts.deny 控制客戶端的訪問

　　/etc/hosts.allow和/etc/hosts.deny這兩個文件是tcpd億恩科技服務器的配置文件，tcpd億恩科技服務器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下：

　　#服務進程名:主機列表:當規則匹配時可選的命令操作

　　1.server_name:hosts-list[:command]

　　/etc/hosts.allow控制可以訪問本機的IP地址，/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突，以 /etc/hosts.deny為準。下面是一個/etc/hosts.allow的示例：

　　1.ALL:127.0.0.1 #允許本機訪問本機所有服務進程

　　2.smbd:192.168.0.0/255.255.255.0 #允許192.168.0.網段的IP訪問smbd服務

　　ALL關鍵字匹配所有情況，EXCEPT匹配除了某些項之外的情況，PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。

　　比如，在億恩科技服務器的 /etc/hosts.deny 文件作如下設置：

　　1.# cat /etc/hosts.deny

　　2.portmap:192.168.102.15

　　然后在客戶機192.168.102.15上加載共享目錄

　　1.# mount 192.168.102.47:/home/share /mnt

　　2.mount to NFS server '192.168.102.47' failed.

　　我們發現現在已經無法加載共享目錄的。

　　資源使用

　　除了使用mount的命令手動掛栽共享資源，還可以使用其他方法實現共享資源的自動掛栽：

　　1 啟動時自動掛栽

　　修改客戶機的 /etc/fstab文件，加入類似如下行：

　　1.192.168.102.47:/home/share /mnt nfs rsize=8192,wsize=8192,timeo=14,intr

　　重啟客戶機，即可實現系統啟動時自動掛栽共享資源

　　2 使用 autofs 實現資源掛栽

　　autofs 使用 automount 守護進程來管理你的掛載點，它只在文件系統被訪問時才動態地掛載它們。 autofs 查詢主配置文件 /etc/auto.master 來決定要定義哪些掛載點。然后，它使用適用于各個掛載點的參數來啟動 automount 進程。主配置中的每一行都定義一個掛載點，然后用單獨的配置文件定義在該掛載點下要掛載的文件系統。

　　NFS億恩科技服務器安裝autofs

　　1.# aptitude install autofs

　　修改/etc/auto.master文件， 加入如下內容：

　　1./mnt /etc/auto.nfs

　　創建 /etc/auto.nfs 文件內容如下：

　　1.nfs -rw,soft,intr,rsize=8192,wsize=8192 192.168.102.47:/home/share

　　這樣，每當您進入 /mnt/nfs 目錄時，系統都會嘗試將億恩科技服務器的共享資源掛栽到該目錄上。應當注意nfs目錄是由 automount 動態地創建的，它不應該在客戶機器上實際存在。

　　1.tonybox2:/# cd /mnt

　　2.tonybox2:/mnt# ls

　　3.tonybox2:/mnt# cd nfs

　　4.tonybox2:/mnt/nfs# ls

　　5.123

　　6.tonybox2:/mnt/nfs# ls -l

　　7.total 4

　　8.-rw-r--r-- 1 nobody nogroup 6 2006-08-22 07:50 123

　　9.tonybox2:/mnt/nfs#

　　如果修改了/etc/auto.master主配置文件，則需要運行

　　1.#/etc/init.d/autofs reload

　　對NFS億恩科技服務器進行重新加載。