nfsnobody詳解

一、介紹

1. 什麼是nfsnobody？

nfsnobody是nfs服務中用於處理用戶無法匹配到 UNIX user ID和UNIX group ID 的情況的一個虛擬用戶，即nobody用戶。在nfs服務中，如果客戶端請求訪問一個它本地不存在的UID，服務器會通過nfsnobody進行處理，讓客戶端仍然能夠擁有某些權限。

2. nfsnobody的作用

nfsnobody的作用在於，為了保證客戶端能夠繼續使用nfs服務而做出的妥協。當客戶端請求服務端的時候，服務端無法找到該客戶端的UID和GID，如果服務端不支持nfsnobody，那麼該請求會被拒絕。但是，通過設置nfsnobody，當客戶端的請求無法匹配到UID和GID時，使用nfsnobody作為虛擬用戶進行處理，即使在客戶端沒有該用戶和組的情況下，仍然可以使用nfs服務。

二、nfsnobody的使用

1. nfsnobody的創建

創建nfsnobody用戶的過程如下：

useradd -r -U nfsnobody

該命令將創建一個具有UID和GID為65534的用戶，這是Linux系統中所有nfsnobody用戶的默認UID和GID。

2. nfsnobody的配置

可以使用下面的命令來對nfsnobody進行配置：

vim /etc/idmapd.conf

在該文件中，可以找到以下兩個設置：

Nobody-User = nfsnobody
Nobody-Group = nfsnobody

這些設置告訴nfsidmap在從本地文件或LDAP服務器中無法找到映射時，使用nfsnobody用戶和組作為替代，並以65534為默認UID和GID。

3. nfsnobody的限制

nfsnobody用戶有一個很大的限制：它在系統中沒有真正的身份。回想一下，nfsnobody用戶只是用於讓客戶端請求可以傳輸，而不是為某個特定的用戶或組保留權限。因此，僅使用nfsnobody用戶時，該用戶在權限方面僅等同於其他未分組的用戶。

此外，沒有必要為每一個訪問服務器的客戶端都創建一個唯一的nfsnobody用戶。幸運的是，nfs服務通常只在受信任的網絡上使用，因此，只需為每個nfs服務器創建一個共享nfsnobody用戶即可。

三、nfsnobody的風險

1. 安全問題

由於nfsnobody對於所有來訪者都是開放的，所以它對於為客戶端創建虛擬用戶的黑客形成了一種捷徑。如果攻擊者找到了nfsnobody用來跳轉到其他用戶或組的漏洞，便可獲得訪問系統的權限。

2. 性能問題

在有些情況下，nfsnobody會降低系統的性能。在映射一個沒有活動用戶的共享目錄中的文件時，服務器會創建一個新的nfsnobody用戶或組。如果在nfs服務的客戶端中並發或頻繁地創建文件，這些無用的nfsnobody用戶會增加系統的負載。

四、總結

nfsnobody是nfs服務中一個重要的實體，它用於處理某些客戶端請求中缺少UID和GID的情況。在建立nfs共享目錄時，需要創建nfsnobody用戶和組，並進行相應的配置，以確保共享目錄的完整性和可用性。然而，需要注意，nfsnobody用戶並不是安全的，攻擊者可以利用其漏洞獲得訪問權限。此外，如果nfsnobody用戶過量使用，還會給系統帶來額外的性能開銷。