<p>设置和配置NFS&#xff08;网络文件系统&#xff09;共享文件可以让不同的计算机在同一个网络中共享文件和目录。下面是如何在Linux系统上设置NFS服务器和客户端的基本步骤&#xff1a;</p> 

NFS服务器配置

1. 安装NFS服务器软件：
   - 在大多数Linux发行版上，你可以通过包管理器安装NFS服务。例如，在Debian/Ubuntu上：
     ```bash
     sudo apt update
     sudo apt install nfs-kernel-server
     ```

2. 创建要共享的目录：
   - 假设你要共享的目录是`/srv/nfs/shared`：
     ```bash
     sudo mkdir -p /srv/nfs/shared
     ```

3. 配置共享目录：
   - 编辑`/etc/exports`文件，添加要共享的目录和访问权限。例如：
     ```bash
     /srv/nfs/shared 192.168.1.0/24(rw,sync,no_subtree_check)

     ```

   - 这里的配置表示允许IP范围为192.168.1.0到192.168.1.255的客户端以读写权限访问`/srv/nfs/shared`目录。

示例：

 /srv/nfs/shared 192.168.1.0/24(sync,wdelay,hide,no_subtree_check,rw,secure,no_root_squash,no_all_squash)

• sync：在请求完成前，将数据同步写入磁盘，提高数据可靠性。
• wdelay：允许NFS服务器在执行写操作前稍作延迟，以便优化性能。
• hide：不导出隐藏文件或子目录。
• no_subtree_check：禁用子树检查，可以提高性能，特别是当导出的是一个完整的文件系统时。
• rw：读写权限。
• secure：仅允许来自小于1024的端口的请求，这通常意味着请求来自“可信”的客户端。
• no_root_squash：允许NFS客户端的root用户拥有root权限。这提升了权限，但降低了安全性。
• no_all_squash：保留客户端用户的身份，而不是将所有用户都映射到匿名用户。

4. 应用配置：
   - 执行以下命令来应用NFS配置：
     ```
     sudo exportfs -ra
     ```

5. 启动NFS服务：
   - 启动并启用NFS服务以便开机自动启动：

     ```

     sudo systemctl start rpcbind

     sudo systemctl enable rpcbind

# 如果使用NFSv4，确保idmapd服务运行
sudo systemctl start rpc-statd
sudo systemctl enable rpc-statd
     ```

NFS客户端配置

1. 安装NFS客户端软件：
   - 在客户端机器上，安装NFS客户端工具。例如，在Debian/Ubuntu上：
     ```bash
     sudo apt update
     sudo apt install nfs-common
     ```

2. 创建挂载点：
   - 创建一个目录来挂载NFS共享，例如`/mnt/nfs/shared`：
     ```bash
     sudo mkdir -p /mnt/nfs/shared
     ```

3. 挂载NFS共享：
   - 使用以下命令挂载NFS共享：
     ```bash
     sudo mount 192.168.1.xxx:/srv/nfs/shared /mnt/nfs/shared
     ```
   - 这里`192.168.1.xxx`是NFS服务器的IP地址。

4. 自动挂载（可选）：
   - 如果希望系统重启后自动挂载NFS共享，可以编辑`/etc/fstab`文件，添加以下行：
     ```
     192.168.1.xxx:/srv/nfs/shared /mnt/nfs/shared nfs,_netdev defaults 0 0

     ```

• _netdev：用于指示此挂载依赖于网络设备，应在网络设备可用后挂载。
• defaults：使用挂载的默认选项。
• 0 0：分别用于dump和fsck的设置，通常可以设置为0。

重要提示

- 安全性：NFS并不加密传输的数据，因此建议在安全的内部网络中使用。要在不安全的网络中使用NFS，考虑通过VPN或SSH隧道加密连接。
  
- 防火墙配置：确保防火墙允许NFS流量。NFS通常使用2049端口。

• 2049：NFS服务端口。
• 111：端口。
• 其他可能使用的动态端口（如锁定服务和状态监控服务）。

使用时，可以这样配置：
sudo firewall-cmd –permanent –add-service=nfs
sudo firewall-cmd –permanent –add-service=rpc-bind
sudo firewall-cmd –permanent –add-service=mountd
sudo firewall-cmd –reload

- 权限管理：确保共享目录具有合适的文件和目录权限，以便NFS客户端可以访问和修改文件。

讯享网

在NFS系统中，权限管理是确保数据安全和访问控制的重要部分。

以下是一些管理NFS权限的关键方法和**实践：

1. 在服务器上设置权限

- 文件和目录权限：
  - 使用`chmod`命令设置文件和目录的权限。
  - 使用`chown`命令设置文件和目录的所有者和组。
  - 例如：
    ```bash
    sudo chown -R user:group /path/to/directory
    sudo chmod -R 755 /path/to/directory
    ```

- 用户和组管理：
  - 确保NFS服务器和客户端上的用户和组ID（UID和GID）一致，以便正确地解析权限。

2. NFS导出选项

- `rw`和`ro`：
  - `rw`：允许读写访问。
  - `ro`：仅允许只读访问。

- `root_squash`：
  - 将NFS客户端的root用户映射为匿名用户，以防止客户端root用户拥有过高权限。
  - 默认开启，推荐在大多数场合使用。

- `all_squash`：
  - 将所有用户映射为匿名用户。这在需要严格控制访问的环境中很有用。

- `anonuid`和`anongid`：
  - 设置匿名用户和组的ID，以进一步控制匿名用户的权限。

3. 使用ACL进行细粒度控制

- 设置ACL：
  - ACL（访问控制列表）允许更细粒度的权限控制。
  - 使用`setfacl`命令设置ACL，`getfacl`命令查看ACL。
  - 例如，设置用户对某文件的读写权限：
    ```bash
    setfacl -m u:username:rw /path/to/file
    ```

4. 网络安全

- 仅限特定IP或子网访问：
  - 在`/etc/exports`中限制访问权限，例如：`192.168.1.0/24`。

- 使用防火墙：
  - 配置防火墙来限制访问，仅允许可信任的IP地址访问NFS服务。

5. 日志监控

- 日志文件：
  - 定期检查NFS相关日志以发现并处理潜在的安全问题。
  - 日志通常记录在`/var/log/syslog`或`/var/log/messages`中。

6. 定期审计

- 权限审计：
  - 定期检查文件和目录的权限设置。
  - 确保用户和组的ID一致性并审计其访问记录。

通过综合以上方法，可以有效管理NFS权限，确保数据的安全和访问控制。根据具体需求和安全策略，选择合适的权限管理策略。

通过这些步骤，你应该能够在Linux系统上成功设置和使用NFS共享。