327.3ネットワークファイルシステム

今回は303試験の試験範囲から「327.3 ネットワークファイルシステム」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜327.3 ネットワークファイルシステム＞
重要度 3

＜説明＞
NFSv4サービスの使用方法と設定上のセキュリティ問題について経験と知識があること。NFSv3以前のバージョンについての知識は必要ない。

＜主要な知識範囲＞
NFSv4 の安全性を中心とした強化点、問題点、使用方法
NFSv4を使用した疑似ファイルシステム
NFSv4 のセキュリティメカニズム (LIPKEY, SPKM, Kerberos)

＜重要なファイル、用語、ユーティリティ＞
NFSv4 ACLs
nfs4acl
RPCSEC_GSS
/etc/exports

■例題
NFSv4の説明として間違っているものを選びなさい。

1. NFSv4ではLinuxのアカウントとは別のアカウントで接続を行う
2. NFSv4ではKerberosを使用したユーザー認証が必須である
3. Kerberos認証を使用する場合には/etc/exportsで認証要求を指定する
4. NFSv4はACLをサポートしている

※この例題は実際のLinuC試験とは異なります。

NFSv4では、従来のNFSv2、NFSv3から様々な強化が行われていますが、セキュリティ面で留意すべき点としては認証系の変更でしょう。

NFSv3とNFSv4の比較については、以下のページなどが参考になります。

http://www.netapp.com/jp/communities/tech-ontap/tot-nfs4-0805-ja.aspx

NFSv4では、LinuxのPOSIXアカウントとは別のアカウントで接続を行います。NFSv3ではUIDやGIDが同じであることを前提にしていましたが、規模の大きなシステムになるとUID/GIDのズレや間違った重複が起きる可能性があり、アクセスセキュリティの点で問題がありました。

ユーザー認証にKerberos認証は必須ではありませんが、上記アカウントのマッピングについて考えると、システム全体で統合的にアカウントを管理できるKerberos認証を利用することが推奨されます。ファイル共有を設定する/etc/exportsには、Kerberos認証を要求することが記述できますが、逆にIP/ホストベースの制御が行えなくなるので、パケットフィルタリングなどでのアクセス制御が必要になります。NFSv4はインターネット環境での利用も想定されているので、環境に合わせたセキュリティ設計が必要となるでしょう。

NFSv4ではアカウントの管理が高機能化したこともあり、ACLをサポートしています。エクスポートしたディレクトリ毎にACLを設定することができます。
NFSv4のACLの詳細については、以下のWikiを参考にしてください。

http://wiki.linux-nfs.org/wiki/index.php/ACLs