跳转至

NFS nobody权限问题


2015-11-13 by dongnan

环境

系统: CentOS 6.7 amd64
版本: nfs v4
NFS服务端: 10.0.100.1
NFS客户端: 10.0.100.2

问题描述

nfs 客户端挂载目录后写入文件的属主与属组权限为 nobody ,php程序提示没有写入权限。

# 执行命令
ls -la

-rw-r--r-- 1 nobody nobody 0 Sep 15 12:15 abc

排错过程

  • 可以确定不是因为nfs v4 域问题导致的,详见这里
  • 发现NFS客户端与NFS服务器端,这个web用户名的用户与组id不同。

解决方法

将NFS客户端与服务器端的,用户与组ID设置为相同重新挂载。(在服务器端和客户端建立相同的用户和组,并且检查uidgid全部相同.)

谨慎设置挂载点与权限

如果 /etc/exports 设置不恰当的挂载目录和权限,有可能导致服务器被入侵,例如:

# 执行命令
cat /etc/exports

/ *(rw,sync,no_root_squash)

这个文件中的挂载点为/根目录,权限设置采用的是root权限。

文件格式

<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]

输出目录,输出目录是指NFS系统中需要共享给客户机使用的目录

客户端,客户端是指网络中可以访问这个NFS输出目录的计算机。

  • 指定ip地址的主机:192.168.0.200
  • 指定子网中的所有主机:192.168.0.0/24 192.168.0.0/255.255.255.0
  • 指定域名的主机:david.bsmart.cn
  • 指定域中的所有主机:*.bsmart.cn
  • 所有主机:*
选项

选项用来设置输出目录的访问权限、用户映射等。

  • 设置输出目录只读:ro
  • 设置输出目录读写:rw

用户映射选项

  • all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody)。
  • no_all_squash:与all_squash取反(默认设置)。
  • root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置)。
  • no_root_squash:与rootsquash取反。
  • anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx)。
  • anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx)。

其它选项

  • secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置)。
  • insecure:允许客户端从大于1024的tcp/ip端口连接服务器。
  • sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性。
  • async:将数据先保存在内存缓冲区中,必要时才写入磁盘。
  • wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置)。
  • no_wdelay:若有写操作则立即执行,应与sync配合使用。
  • subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置)。
  • no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率。

小结

  • 不信任的网络使用 iptables 防火墙限制访问来源。
  • 信任的网络尽量按照单台主机IP设置。
  • 尽量不使用 no_root_squash 选项。
回到页面顶部