327.3ネットワークファイルシステム

今回は303試験の試験範囲から「327.3 ネットワークファイルシステム」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜327.3 ネットワークファイルシステム＞
重要度     3

＜説明＞
NFSv4サービスの使用方法と設定上のセキュリティ問題について経験と知識があること。NFSv3以前のバージョンについての知識は必要ない。

＜主要な知識範囲＞
・NFSv4 の安全性を中心とした強化点、問題点、使用方法
・NFSv4を使用した疑似ファイルシステム
・NFSv4 のセキュリティメカニズム (LIPKEY, SPKM, Kerberos)

＜重要なファイル、用語、ユーティリティ＞
・NFSv4 ACLs
・nfs4acl
・RPCSEC_GSS
・/etc/exports

■例題
NFSv4のセキュリティの説明として間違っているものを選びなさい。

1. より複雑なACLが利用できる
2. Kerberos認証が必須
3. idmapdによるIDと名前のマッピングが必要
4. iptablesによる接続制限が行える

※この例題は実際のLinuC試験とは異なります。

NFSv4は、従来のNFSv3に比べて、パフォーマンスとセキュリティの面での強化が図られています。

NFSv3では、通常のLinuxのファイルシステムと同様にユーザー、グループベースのアクセス制御が行われていましたが、NFSv4ではより複雑なACLが利用できます。この機能を実現するために、名前ベースでのコントロールが必要になっています。

名前ベースのコントロールは、Kerberos認証を使用するか、idmapdを使ったIDと名前のマッピングが必要となります。idmapdに関する設定ファイルは/etc/idmapd.confとなります。

○/etc/idmapd.confの例
[General]

Verbosity = 0
Pipefs-Directory = /var/lib/nfs/rpc_pipefs
Domain = localdomain

[Mapping]

Nobody-User = nobody
Nobody-Group = nobody

[Translation]
Method = nsswitch
---

NFSv4からは、接続可能なクライアントの制御などにはiptablesによるパケットフィルタリングが使用できます。これはNFSv4から使用するポートが2049/tcpのみになったことによります。