nfsnobody详解

一、介绍

1. 什么是nfsnobody？

nfsnobody是nfs服务中用于处理用户无法匹配到 UNIX user ID和UNIX group ID 的情况的一个虚拟用户，即nobody用户。在nfs服务中，如果客户端请求访问一个它本地不存在的UID，服务器会通过nfsnobody进行处理，让客户端仍然能够拥有某些权限。

2. nfsnobody的作用

nfsnobody的作用在于，为了保证客户端能够继续使用nfs服务而做出的妥协。当客户端请求服务端的时候，服务端无法找到该客户端的UID和GID，如果服务端不支持nfsnobody，那么该请求会被拒绝。但是，通过设置nfsnobody，当客户端的请求无法匹配到UID和GID时，使用nfsnobody作为虚拟用户进行处理，即使在客户端没有该用户和组的情况下，仍然可以使用nfs服务。

二、nfsnobody的使用

1. nfsnobody的创建

创建nfsnobody用户的过程如下：

useradd -r -U nfsnobody

该命令将创建一个具有UID和GID为65534的用户，这是Linux系统中所有nfsnobody用户的默认UID和GID。

2. nfsnobody的配置

可以使用下面的命令来对nfsnobody进行配置：

vim /etc/idmapd.conf

在该文件中，可以找到以下两个设置：

Nobody-User = nfsnobody
Nobody-Group = nfsnobody

这些设置告诉nfsidmap在从本地文件或LDAP服务器中无法找到映射时，使用nfsnobody用户和组作为替代，并以65534为默认UID和GID。

3. nfsnobody的限制

nfsnobody用户有一个很大的限制：它在系统中没有真正的身份。回想一下，nfsnobody用户只是用于让客户端请求可以传输，而不是为某个特定的用户或组保留权限。因此，仅使用nfsnobody用户时，该用户在权限方面仅等同于其他未分组的用户。

此外，没有必要为每一个访问服务器的客户端都创建一个唯一的nfsnobody用户。幸运的是，nfs服务通常只在受信任的网络上使用，因此，只需为每个nfs服务器创建一个共享nfsnobody用户即可。

三、nfsnobody的风险

1. 安全问题

由于nfsnobody对于所有来访者都是开放的，所以它对于为客户端创建虚拟用户的黑客形成了一种捷径。如果攻击者找到了nfsnobody用来跳转到其他用户或组的漏洞，便可获得访问系统的权限。

2. 性能问题

在有些情况下，nfsnobody会降低系统的性能。在映射一个没有活动用户的共享目录中的文件时，服务器会创建一个新的nfsnobody用户或组。如果在nfs服务的客户端中并发或频繁地创建文件，这些无用的nfsnobody用户会增加系统的负载。

四、总结

nfsnobody是nfs服务中一个重要的实体，它用于处理某些客户端请求中缺少UID和GID的情况。在建立nfs共享目录时，需要创建nfsnobody用户和组，并进行相应的配置，以确保共享目录的完整性和可用性。然而，需要注意，nfsnobody用户并不是安全的，攻击者可以利用其漏洞获得访问权限。此外，如果nfsnobody用户过量使用，还会给系统带来额外的性能开销。