NFS(网络文件系统)是Unix系统使用地标准文件共享协议。NFS允许一个系统在网络上导出一个目录到一个或多个其它主机,允许在那些主机上的用户和程序访问导出的文件,就像它们在本地。
一个NFS服务器是一个导出了一个或多个目录的系统,而NFS客户端是一个挂载了来自一台服务器的一个或多个目录的系统。一台主机可以同时是一台NFS服务器和一台其它服务器的NFS客户端。
一台服务器通过为被请求目录比对客户端IP地址和一个可用主机列表控制哪些客户端可以挂载被导出的目录。这台服务器也可以指定一个导出只读,或者对某些客户端只读。
不同于其它网络文件系统,一个NFS客户端在挂载一个被导出目录时,不是必须登录到服务器。当访问被导出文件时,服务器信任客户端验证用户并且提供当前用户的ID。因而,你应该只允许你信任的客户端挂载被导出目录。
这个模块允许你通过你系统上NFS配置共享的目录(在Linux中被称exports)。首页显示一个目录以及它们被导出到的客户列表,允许你点击客户端来编辑其选项或者启动导出一个新目录。
在首页共享列表之下是一个按钮,它将使得当前配置生效。通过停止和启动正在运行的NFS服务进程,做这件事。
如果某个目录和其子目录之一被导出,用于最特定目录的选项将应用到客户端。例如,如果/usr和/usr/local都被导出,一个访问/usr/local/bin的客户端将受到用于/usr/local导出的选项影响。
- # CentOS 7
- yum install nfs-utils
- yum install rpcbind
NFS是在网络上Unix系统之间用于共享文件的最常见协议。NFS服务器从它们的本地硬盘导出目录到NFS客户端,客户端挂载它们,使得它们可以像任何其它目录被访问。不同于诸如Windows网络,Netware和AppShare的其它文件共享协议,NFS被设置为支持有多个用户的客户端系统。这表示一个客户端从不登录到一台服务器,并且服务器完全信任客户端来验证用户。NFS的缺点不是一个用于与不完全受信的客户端共享文件的好协议。
不是使用用户名和密码用于验证,NFS使用客户端IP地址。仅受限客户端被允许挂载来自服务器的目录,因此它对来自网络上客户端未授权的访问不是脆弱的。通过限制一个客户端上特性Unix用户的访问权或者把来自一个客户端的请求当成一个用户,能够增加一些额外安全。
在Linux上,/etc/exports文件包含了一个由NFS导出的永久目录列表以及这些目录被导入的客户端。这个文件在启动时由nfsd和mounted程序读取,这些程序在后台运行来服务NFS请求。当你使用Webmin更改或创建exports时,exports文件直接被更新。
在Linux上,使用NFS exports模块进行NFS服务器配置。在进入这个模块后,主页将显示一个被导出目录以及被允许访问它们的客户端列表,如下所示:
大部分Linux发行版携带默认安装了用于NFS文件共享的程序。但如果Webmin从你的系统检测到了它们缺失,当你进入这个模块时,将显示一条错误消息。如果那发生了,你将需要安装nfs-server或nfs包。
仅本地文件系统上地目录可以通过NFS被导出,因此重新导出以被从另一台NFS服务器挂载的文件是不可能的。从非Unix文件系统,如vfat,ntfs或iso-9660导出目录也是不可能的。如果被导出目录在它下有一个挂载点,在那些挂载点下的文件将对NFS客户端不可访问。所以如果你导出root目录/并且在/home挂载了一个独立的文件系统,你也需要导出/home并且客户端为了看见它之下的文件需要挂载它。
Directory to export:不是挂载很多不同导出,一个NFSv4客户端把NFSv4服务器的导出看作存在于单个文件系统内。因此,对于NFSv4,这个目录首先被挂载在NFSv4伪文件系统,伪文件系统被导出,接着目录。最好导出这个目录而不隐藏它,因此客户端将能够进入它而不要挂载它。
不同于其它NFS服务器,Linux支持再次导出一个这样的目录,它是从另一台主机NFS挂载的,以及导出一个包含其它文件系统挂载点的目录。
要导出的NFSv4伪文件系统
NFSv4 Pseudofileystem to export:仅NFS 通常/export目录将用于挂载导出的nfs目录。当在一个伪文件系统内创建一个nfsv4 导出时,将在/etc/fstab中创建一个对应的条目。
Active:除非你想要这个导出不可用,否则确认这个选项设成Yes。
Export to:选择哪些客户端将访问这个目录。可能的选项是:
Security levels:仅NFSv4 这个字段决定要求使用哪种安全等级。多个等级可被选折,并且首先尝试首选等级。
1)Read-only:如果你想防止客户端在被导出目录中修改或者创建文件,设为Yes。
2) Trust remote users:如果只导出到受信系统,*Everyone*。默认,不要相信其它系统的root账户。
3) Treat untrusted users as:这个选项决定不受信任的客户端用户被当作哪个本地用户。你可以输入一个UID或者选择一个用户,或者选择默认值。exportfs选项:anonuid default:-2或nobody。
4)Treat untrusted groups as:这个选项决定不受信任的客户端组被当作哪个本地组。你可以输入一个GID或者选择一个组,或者选择默认值。exportfs选项:anongid default: -2或者nobody。
5)Disable subtree checking:这个选项禁用子树检查,它有轻微的安全影响,但可以在某些环境中提高可靠性。
6)Immediate sync all writes:当启用这个选项时,在向客户端报告成功前,将写由此客户端写的所有NFS到磁盘。这更慢,但确保数据完整性。当禁用这个选项时,可能缓存NFS客户端的写等待后来。exportfs选项:sync, asyncdefult:enabled。
7) Make symbolic links relative:这是一个NFSv2-specific选项。转换客户端看到的绝对符号链接未相对链接。例如,如果导出了目录/usr。一个从/usr/local/bin到/usr/X11R6/bin的链接将被转换成../X11R6/bin。这对客户端正在挂载/usr之外的某个目录时,有很大意义。
8) Client must be on secure port:如果选择这个选项,NFS客户端必须使用小于1024的UDP或TCP端口。这个选项未Unix客户端提供了更多安全性,但可能干扰某些NFS实现。exportfs选项:secure, insecure。
9) Deny access to directory:这是一个NFSv2-specific选项。如果选择这个选项,指定的客户端将不允许访问此目录中任何东西。只在你导出一个父目录,但要拒绝对某些子目录访问时,这个选项才有用。exportfs选项:noaccess。
10) Hide the filesystem:当设置未Yes时,客户端将需要单独挂载在这个下导出的任何文件系统。当设为No时,它将自动地得到挂载。
11) Don't trust UIDs:这是一个NFSv2-specific选项。映射守护ugidd必须运行。除了Trust remote users部分,这个选项允许你指定一个客户端UIDs列表,它们被当作不受信用户。你必须输入一个逗号分隔的UIDs或UID的列表,范围如1,10, 20-25,100-150。exportfs选项:squash_uids,map_daemon。
12) Don't trust GIDs:这是一个NFSv2-specific选项。映射守护ugidd必须运行。不相信UIDs,这个选项允许你指定一个客户端GIDs的列表,它们被当作不受信组。你必须输入一个逗号分隔的GIDs或GID列表,范围如1, 10, 20-25,100-150。exportfs选项:squash_gids, map_daemon。
点击Create按钮来保存这个导出。如果你在任何字段中犯了任何错误,将显示一条解释错误信息。否则,浏览器将返回到exports列表。
- [root@telecom ~]# cat /etc/exports
- /home/blctrl (sync,anonuid=1000,no_subtree_check,rw)
被允许的客户端现在应该能够挂载被导出的系统。如果不能,检查对应来自NFS服务器进程解释客户端为什么被拒绝的消息的系统错误日志。
通过以下步骤,在任何时候编辑任何已有NFS导出的所有任何详情:
1) 点击这个模块主页,点击Export to列下你想要编辑的客户端。如果一个目录被多次导出到不同客户端,必须单独地编辑每一个。
2) 在导出编辑表单中,更改任何选项,包括要共享地目录。
3) 如果你想要删除这个导出,点击这页底部Delete按钮。否则,点击Save来保存你的更改。无论何种方式,你的浏览器将返回到这个模块的主页。
4) 点击Applye Changes按钮来使得更改生效。
通过点击这个模块主页上它们的目录,可以编辑或者删除已有的NFS导出。如果你做了任何修改,你必须点击Apply Changes按钮来使得它们生效。
要'import'一个目录,它已经被另一个系统导出了,你可以使用Disk and Network Filesystems。