AI 助理
备案控制台
开发者社区 安全 文章 正文

Engineer04

2017-11-15 945
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

##################################################

修改两台虚拟机防火墙默认区域为trusted

[root@server0 ~]# firewall-cmd --set-default-zone=trusted
[root@desktop0 ~]# firewall-cmd --set-default-zone=trusted

#####################################################
NFS共享服务(Linux与Linux)

普通NFS服务

• Network File System,网络文件系统
– 用途:为客户机提供共享使用的文件夹
– 协议:NFS(TCP/UDP 2049)、RPC(TCP/UDP 111)

• 所需软件包:nfs-utils
• 系统服务:nfs-server

• 列出有哪些NFS共享资源
– showmount -e 服务器地址
• 手动挂载NFS共享
– mount 服务器地址:文件夹路径 挂载点
• 开机挂载配置 /etc/fstab
– 服务器地址:文件夹路径 挂载点 nfs _netdev 0 0

服务端:Server0
1.安装服务端软件包,nfs-utils

2.修改 /etc/exports
文件夹路径 客户机地址(权限) 
[root@server0 ~]# mkdir /public
[root@server0 ~]# echo 123 > /public/123.txt

[root@server0 ~]# vim /etc/exports
/public 172.25.0.0/24(ro)

3.重起服务
[root@server0 ~]# systemctl restart nfs-server
[root@server0 ~]# systemctl enable nfs-server

客户端:Desktop0 (vim命令模式下,按o可以另起一行进入插入模式)

[root@desktop0 ~]# showmount -e 172.25.0.11 #查看共享
[root@desktop0 ~]# mkdir /mnt/nfs01
[root@desktop0 ~]# vim /etc/fstab 
172.25.0.11:/public /mnt/nfs01 nfs _netdev 0 0
[root@desktop0 ~]# mount -a 
[root@desktop0 ~]# df -h
#########################################################
安全的NFS服务(必须还原所有classroom、server、desktop的环境)

1.还原所有classroom、server、desktop

2.修改两台虚拟机server、desktop防火墙默认区域为trusted

[root@server0 ~]# firewall-cmd --set-default-zone=trusted
[root@desktop0 ~]# firewall-cmd --set-default-zone=trusted

3.实现用户统一
– 结合 LDAP + kerberos 技术,实现认证和加密支持
– 同一个 kerberos 领域内,认证用密码

[root@server0 ~]# lab nfskrb5 setup #加入 LDAP+kerberos
[root@desktop0 ~]# lab nfskrb5 setup #加入 LDAP+kerberos

4.验证:
[root@server0 ~]# id ldapuser10

[root@desktop0 ~]# id ldapuser10

##########################################################
搭建安全的NFS服务

服务端Server

1.部署与kerberos通信加密的密钥

wget http://classroom/pub/keytabs/server0.keytab -O /etc/krb5.keytab

2.配置NFS读写的共享
[root@server0 ~]# mkdir /nsd
[root@server0 ~]# touch /nsd/123.txt
[root@server0 ~]# vim /etc/exports
/nsd 172.25.0.0/24(rw,sec=krb5p)

3.必须同时重起服务nfs-server、nfs-secure-server

systemctl restart nfs-server nfs-secure-server

4.为了做题,让ldapuser0具备写权限,赋予他本地的写权限

setfacl -m u:ldapuser0:rwx /nsd

######################################################

客户端Desktop:
1.部署与kerberos通信加密的密钥

wget http://classroom/pub/keytabs/desktop0.keytab -O /etc/krb5.keytab

2.修改/etc/fstab开机自动挂载配置文件
[root@desktop0 ~]# mkdir /mnt/test
[root@desktop0 ~]# vim /etc/fstab

172.25.0.11:/nsd /mnt/test nfs _netdev,sec=krb5p 0 0

#重起客户端nfs加密服务
[root@desktop0 ~]# systemctl restart nfs-secure 
[root@desktop0 ~]# mount -a
[root@desktop0 ~]# df -h

3.验证ldapuser0是否有写权限:
[root@desktop0 ~]# ssh ldapuser0@127.0.0.1

ldapuser0@127.0.0.1's password: 密码为 kerberos

[ldapuser0@desktop0 test]$ cd /mnt/test
[ldapuser0@desktop0 test]$ touch ldapuser0.txt

##################################################

#######################################################

####################################################





     本文转自sweak_h 51CTO博客,原文链接:http://blog.51cto.com/13478354/2046920,如需转载请自行联系原作者



文章标签:
数据安全/隐私保护
开发工具
网络安全
Linux
网络协议
安全
技术小胖子
目录
相关文章
pandamonica
SAP语境下什么是The Business Engineer?
pandamonica
1043 0
技术小胖子
|
Shell Linux 开发工具
Engineer01
技术小胖子
967 0
技术小胖子
|
Web App开发 测试技术 开发工具
engineer
技术小胖子
1133 0
技术小胖子
|
存储 关系型数据库 MySQL
Engineer05
技术小胖子
1155 0
技术小胖子
|
网络协议 Shell 网络安全
Engineer02
技术小胖子
1079 0
技术小胖子
|
安全 开发工具
engineer7
技术小胖子
1209 0
技术小胖子
|
Shell Linux 开发工具
engineer1
技术小胖子
1191 0
技术小胖子
|
Devops 网络安全 开发工具
Engineer03
技术小胖子
942 0
吞吞吐吐的
|
JavaScript Java 程序员
Software Engineer
吞吞吐吐的
1551 0
m2land
|
C# C++
微软职位内部推荐-Senior Software Engineer-Eco
微软近期Open的职位: The MOD Ecosystem team is dedicated to expanding the reach and value of Office by enabling developers to create solutions built on the Of...
m2land
789 0