Trong hướng dẫn này, chúng tôi sẽ tập trung vào các khái niệm mạng cơ bản của NFS, cụ thể là các cổng được sử dụng bởi các dịch vụ NFS. Khi chúng tôi hiểu các cổng và dịch vụ cụ thể của chia sẻ NFS, chúng tôi có thể sử dụng chúng để định cấu hình các biện pháp bảo mật như tường lửa và khắc phục sự cố.
Cách hoạt động của NFS
Có ba phiên bản NFS được hỗ trợ tại thời điểm viết bài này. NFS v2 là phiên bản lâu đời nhất và được hỗ trợ rộng rãi nhất.
NFS v3 mới hơn NFS V2 và cung cấp nhiều tính năng hơn như xử lý kích thước thay đổi, cải thiện báo cáo lỗi, v.v. Tuy nhiên, NFS v3 không tương thích với các máy khách NFS v2.
Phiên bản mới nhất của NFS v4 cung cấp các tính năng mới và cải tiến. Chúng bao gồm các hoạt động trạng thái, khả năng tương thích ngược với NFS v2 và NFS v3, yêu cầu portmapper bị loại bỏ, khả năng tương tác đa nền tảng, xử lý không gian tên tốt hơn, bảo mật tích hợp với ACL và Kerberos.
Sau đây là so sánh giữa NFS v3 và NFS v 4.
| Đặc tính | NFS v3 | NFS v4 |
| Giao thức vận tải | TCP và UDP | Chỉ UDP |
| Xử lý quyền | Unix | Dựa trên Windows |
| Phương pháp xác thực | Auth_Sys - Yếu hơn | Kerberos (Mạnh) |
| Tính cách | Không quốc tịch | Trạng thái |
| Ngữ nghĩa | Unix | Unix và Windows |
Bảng trên cho thấy một số tính năng của giao thức NFS 4 so với giao thức NFS 3. Nếu bạn muốn tìm hiểu thêm, hãy xem xét tài liệu chính thức được cung cấp bên dưới:
https://datatracker.ietf.org/doc/html/rfc3530
NFS v4 không sử dụng portmapper và các dịch vụ được yêu cầu bởi NFS V2 và V3 là không cần thiết. Do đó, trong NFS v4, chỉ cần cổng 2049.
Tuy nhiên, NFS v2 và v2 yêu cầu các cổng và dịch vụ bổ sung mà chúng ta sẽ thảo luận trong hướng dẫn này.
Dịch vụ bắt buộc (NFS v2 và V3)
Như đã đề cập, NFS v2 & v3 sử dụng dịch vụ portmap. Dịch vụ portmap trong Linux xử lý các cuộc gọi thủ tục từ xa, mà NFS (v2 và v3) sử dụng để mã hóa và giải mã các yêu cầu giữa máy khách và máy chủ.
Để thực hiện chia sẻ NFS, các dịch vụ sau là bắt buộc. Hãy nhớ rằng điều này chỉ dành cho NFS v2 và v3.
- Portmapper
- Mountd
- Nfsd
- Lockd
- Statd
#: Portmapper
Dịch vụ Portmapper được yêu cầu để chạy NFS cả trên máy khách và phía máy chủ. Nó chạy trên Cổng 111 cho cả giao thức TCP và UDP.
Nếu bạn đang triển khai tường lửa, hãy đảm bảo rằng cổng này được phép cho các gói đến và đi.
#: Mountd
Dịch vụ khác cần thiết để chạy NFS là daemon mountd. Dịch vụ này chạy trên máy chủ NFS và được sử dụng để xử lý các yêu cầu gắn kết từ các máy khách NFS. Nó chủ yếu được xử lý bởi dịch vụ nfsd và không yêu cầu cấu hình người dùng.
Tuy nhiên, bạn có thể chỉnh sửa cấu hình để đặt cổng tĩnh trong tệp / etc / sysconfig / nfs. Xác định vị trí / và đặt:
MOUNTD_PORT=[Hải cảng]#: NFSD
Đây là daemon NFS chạy trên các máy chủ NFS. Đây là một dịch vụ quan trọng hoạt động với nhân Linux để cung cấp chức năng giống như các luồng máy chủ cho tất cả các máy khách được kết nối với máy chủ.
Theo mặc định, daemon NFS đã được cấu hình để chạy một cổng tĩnh 2049. Cổng này đúng trên cả hai giao thức TCP và UDP.
#: Lockd & Statd
Daemon Trình quản lý khóa NFS (lockd) và daemon Trình quản lý trạng thái (statd) là các dịch vụ khác được yêu cầu r để chạy NFS. Các daemon này chạy ở phía máy chủ và phía máy khách.
Daemon lockd cho phép các máy khách NFS khóa các tệp trên máy chủ NFS.
Mặt khác, daemon statd có trách nhiệm thông báo cho người dùng khi máy chủ NFS được khởi động lại mà không có thời gian tắt máy. Nó thực hiện giao thức RPC Giám sát trạng thái mạng.
Mặc dù cả hai dịch vụ này đều được khởi động tự động bởi dịch vụ nfslock, bạn có thể định cấu hình chúng để chạy một cổng tĩnh, điều này có thể hữu ích trong cấu hình tường lửa.
Đặt một cổng tĩnh cho các daemon statd và lockd, chỉnh sửa / etc / sysconfig / nfs và nhập các mục sau.
STATD_PORT=[Hải cảng]LOCKD_TCPPORT=[Hải cảng]
LOCKD_UDPPORT=[Hải cảng]
Tóm tắt nhanh
Hãy để chúng tôi xem qua một bản tóm tắt nhanh những gì chúng tôi vừa đề cập.
Nếu bạn đang chạy NFS v4, tất cả những gì bạn cần là cho phép cổng 2049. Tuy nhiên, nếu bạn đang chạy NFS v2 hoặc v3, bạn cần chỉnh sửa tệp / etc / sysconfig / nfs và thêm các cổng cho các dịch vụ sau.
- Mountd - MOUNTD_PORT = cổng
- Statd - STATD_PORT = cổng
- LOCKD - LOCKD_TCPPORT = cổng, LOCKD_UDPPORT = cổng
Cuối cùng, bạn cần đảm bảo rằng trình nền NFSD đang chạy trên cổng 2049 và trình quản lý cổng trên cổng 111
GHI CHÚ: Nếu tệp / etc / sysconfig / nfs không tồn tại, hãy tạo tệp đó và thêm các mục được chỉ định trong hướng dẫn.
Bạn cũng có thể kiểm tra / var / log / messages nếu dịch vụ NFS không khởi động chính xác. Đảm bảo rằng các cổng bạn đã chỉ định không được sử dụng.
Cấu hình mẫu
Sau đây là cài đặt cấu hình của máy chủ NFS trên máy chủ CentOS 8.
Khi bạn đã chỉnh sửa cấu hình và thêm các cổng cần thiết như đã thảo luận trong hướng dẫn, hãy khởi động lại dịch vụ với tư cách:
sudosystemctl start nfs-server.serviceTiếp theo, xác nhận dịch vụ đang chạy bằng lệnh:
sudotrạng thái systemctl nfs-server.service 
Cuối cùng, xác nhận các cổng đang chạy bằng rpcinfo như được hiển thị trong lệnh dưới đây:
sudorpcinfo-P 
Phần kết luận
Hướng dẫn này đã thảo luận những kiến thức cơ bản về mạng của giao thức NFS và các cổng và dịch vụ cần thiết cho cả NFS v2, v3 và v4.
Cảm ơn bạn đã đọc & Hãy là một Geek tự hào!