M6管理与维护Linux桌面系统安全.doc

网络安全运行与维护教学指导  PAGE \* MERGEFORMAT 17 M6-3 加强Linux用户网络访问权限的安全控制能力 1教学目的与要求 1.1 教学目的 学生通过该能力模块的学习,能够独立完成和熟练掌握安全设置NFS和SAMBA服务，从而实现文件安全访问的能力。 1.2 教学要求 1.教学重点 安全设置NFS 安全设置SAMBA 2.教学难点 安全设置SAMBA：理解SAMBA服务器安全访问级别。 2 本能力单元涉及的知识组织 2.1本能力单元涉及的主要知识点 1、NFS 2、SAMBA 2.2本能力单元需要解决的问题 1、按照项目的需求，重点掌握如何安全配置NFS服务。 2、按照项目的需求，重点掌握如何安全配置SAMBA服务。 3 核心技术和知识的理解 3.1 NFS NFS是分布式计算机系统的一个组成部分，可实现在异构网络上共享和装配远程文件系统。 NFS简介 NFS由SUN公司开发，目前已经成为文件服务的一种标准（RFC1904，RFC1813）。其??大功能是可以通过网络让不同操作系统的计算机可以共享数据，所以也可以将其看做是一台文件服务器，如图1-1所示。NFS提供了除Samba之外，Windows与Linux及UNIX与Linux之间通信的方法。 客户端PC可以挂载NFS服务器所提供的目录并且挂载之后这个目录看起来如同本地的磁盘分区一样，可以使用cp、cd、mv、rm及df等与磁盘相关的命令。NFS有属于自己的协议与使用的端口号，但是在传送资料或者其他相关信息时候，NFS服务器使用一个称为远程过程调用（Remote Procedure Call，RPC）的协议来协助NFS服务器本身的运行。 为何使用NFS NFS的目标是使计算机共享资源，在其发展过程中（即20世纪80年代），计算机工业飞速发展，廉价CPU及客户端/服务器技术促进了分布式计算环境的发展。然而当处理器价格下降时，大容量的存储系统相对而言价格仍居高不下。因此必须采用某种机制在充分发挥单个处理器性能的同时使计算机可共享存储资源和数据，于是NFS应运而生。 NFS协议 使用NFS，客户端可以透明地访问服务器中的文件系统，这不同于提供文件传输的FTP协议。FTP会产生文件一个完整的副本；NFS只访问一个进程引用文件部分，并且一个目的就是使得这种访问透明。这就意味着任何能够访问一个本地文件的客户端程序不需要做任何修改，就应该能够访问一个NFS文件。 NFS是一个使用SunRPC构造的客户端/服务器应用程序，其客户端通过向一台NFS服务器发送RPC请求来访问其中的文件。尽管这一工作可以使用一般的用户进程来实现，即NFS客户端可以是一个用户进程，对服务器进行显式调用，而服务器也可以是一个用户进程。因为两个理由，NFS一般不这样实现。首先访问一个NFS文件必须对客户端透明，因此NFS的客户端调用是由客户端操作系统代表用户进程来完成的；其次，出于效率的考虑，NFS服务器在服务器操作系统中实现。如果NFS服务器是一个用户进程，每个客户端请求和服务器应答（包括读和写的数据）将不得不在内核和用户进程之间进行切换，这个代价太大。第3版的NFS协议在1993年发布。 （1）访问一个本地文件还是一个NFS文件对于客户端来说是透明的，当文件被打开时，由内核决定这一点。文件被打开之后，内核将本地文件的所有引用传递给名为本地文件访问的框中，而将一个NFS文件的所有引用传递给名为NFS客户端的框中。 （2）NFS客户端通过其TCP/IP模块向NFS服务器发送RPC请求，NFS主要使用UDP，最新的实现也可以使用TCP。 （3）NFS服务器在端口2049接收作为UDP数据包的客户端请求，尽管NFS可以被实现为使用端口映射器，允许服务器使用一个临时端口，但是大多数实现都是直接指定UDP端口2049。 （4）当NFS服务器收到一个客户端请求时，它将这个请求传递给本地文件访问例程，然后访问服务器主机上的一个本地的磁盘文件。 （5）NFS服务器需要花一定的时间来处理一个客户端的请求，访问本地文件系统一般也需要一部分时间。在这段时间间隔内，服务器不应该阻止其他客户端请求。为了实现这一功能，大多数的NFS服务器都是多线程的--服务器的内核中实际上有多个NFS服务器在NFS本身的加锁管理程序中运行，具体实现依赖于不同的操作系统。既然大多数UNIX内核不是多线程的，一个共同的技术就是启动一个用户进程（常被称为nfsd）的多个实例。这个实例执行一个系统调用，使其作为一个内核进程保留在操作系统的内核中。 （6）在客户端主机上，NFS客户端需要花一定的时间来处理一个用户进程的请求。NFS客户端向服务器主机发出一个RPC调用，然后等待