网络文件系统NFS的作用?

NFS是Net File System的简写,即网络文件系统
网络文件系统是FreeBSD支持的文件系统中的一种，也被称为NFS NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS，用户和程序可以象访问本地文件一样访问远端系统上的文件。
以下是NFS最显而易见的好处：
1本地工作站使用更少的磁盘空间，因为通常的数据可以存放在一台机器上而且可以通过网络访问到。
2用户不必在每个网络上机器里头都有一个home目录。Home目录 可以被放在NFS服务器上并且在网络上处处可用。
3诸如软驱，CDROM，和 Zip® 之类的存储设备可以在网络上面被别的机器使用。这可以减少整个网络上的可移动介质设备的数量。
NFS至少有两个主要部分：一台服务器和一台（或者更多）客户机。客户机远程访问存放在服务器上的数据。为了正常工作，一些进程需要被配置并运行。
NFS 有很多实际应用。下面是比较常见的一些：
1多个机器共享一台CDROM或者其他设备。这对于在多台机器中安装软件来说更加便宜跟方便。
2在大型网络中，配置一台中心 NFS 服务器用来放置所有用户的home目录可能会带来便利。这些目录能被输出到网络以便用户不管在哪台工作站上登录，总能得到相同的home目录。
3几台机器可以有通用的/usr/ports/distfiles 目录。这样的话，当您需要在几台机器上安装port时，您可以无需在每台设备上下载而快速访问源码。
注：NFS 由Sun microsystems 公司开发。是一种网络 *** 作系统
是使用底层传输层协议TCP/IP的应用层协议

、NFS概述
NFS：Network file system，网络文件系统；
由sun公司1984年推出，用来在网络中的多台计算机间实现资源共享(包括象文件或cd-rom)；
设计的目的是：实现在不同系统间交互使用，所以它的通信协议采用与主机和 *** 作系统无关的技术；
NFS Server可以看作是File Server，它可以让你的PC通过网络将远端得NFS SERVER共享出来的档案MOUNT到自己的系统中，在CLIENT看来使
用NFS的远端文件就象是在使用本地文件一样；
NFS协议从诞生到现在有多个版本：NFS V2（rfc1094）,NFS V3（rfc1813）（最新的版本是V4（rfc3010）；
如何查看nfs当前的版本：
rpm -qi portmap
rpm -qi nfs-utils
NFS服务器的安装：
可以由多种安装方法：
----在安装linux系统时选择安装nfs服务对应的组件；(多数linux发行版本默认安装)
----安装nfs的rpm套件包(手动安装)
rpm -ivh rpm包
需要5个RPM包。
setup-：　 共享NFS目录在/etc/exports中定义 (linux默认都安装)
initscripts-： 包括引导过程中装载网络目录的基本脚本 (linux默认都安装)
nfs-utils-：　 包括基本的NFS命令与监控程序
portmap-：　 支持安全NFS RPC服务的连接
quota-：　 网络上共享的目录配额，包括rpcrquotad （这个包不是必须的）
----也可以去下载nfs的源代码包，进行编译安装；

RPC(Remote Procedure call)
NFS本身是没有提供信息传输的协议和功能的，但NFS却能让我们通过网络进行资料的分享，这是因为NFS使用了一些其它的传输协议。而这
些传输协议用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC SERVER所以只要用到NFS的地方都要启动RPC
服务，不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关系：NFS
是一个文件系统，而RPC是负责负责信息的传输。
nfs在系统中的后台守护进程：
nfs

nfs服务需要启动的其他进程：
rpcnfsd：接收从远程系统发来的NFS请求，并将这些请求转化为本地文件系统请求；
rpcmountd：执行被请求的文件系统的挂接和卸载 *** 作；
rpcportmapper：将远程请求映射到正确的NFS守护程序；
rpcstatd：在远程主机重启时，提供加锁服务；
rpcquotaed：提供硬盘容量的管理能力，磁盘限额；
rpcinfo -p 可以查看所要的守护进程时候正常运行；
ps -ef | grep nfsd
ps -ef | grep mountd
ps -ef | grep protmap
现在我们来查看服务器上有关NFS服务器启动了哪些端口：
# lsof -i|grep rpc
portmap 1931 daemon 3u IPv4 4289 UDP :sunrpc
portmap 1931 daemon 4u IPv4 4290 TCP :sunrpc (LISTEN)
rpcstatd 3206 statd 3u IPv4 7081 UDP :1029
rpcstatd 3206 statd 6u IPv4 7072 UDP :838
rpcstatd 3206 statd 7u IPv4 7085 TCP :1031 (LISTEN)
rpcmount 3483 root 6u IPv4 7934 UDP :691
rpcmount 3483 root 7u IPv4 7937 TCP :694 (LISTEN)
NFS服务的主配置文件：
/etc/exports：
格式：
[共享的目录] [主机名或IP(参数,参数)]
当将同一目录共享给多个客户机，但对每个客户机提供的权限不同时，可以这样：
[共享的目录] [主机名1或IP1(参数1,参数2)] [主机名2或IP2(参数3,参数4)]
第一列：欲共享出去的目录，也就是想共享到网络中的文件系统；
第二列：可访问主机
19216815213 指定IP地址的主机
nfsclienttestcom 指定域名的主机
19216810/24 指定网段中的所有主机
testcom 指定域下的所有主机
所有主机
第三列：共享参数
下面是一些NFS共享的常用参数：
下面是一些NFS共享的常用参数：
ro 只读访问
rw 读写访问
sync 所有数据在请求时写入共享
async NFS在写入数据前可以相应请求
secure NFS通过1024以下的安全TCP/IP端口发送
insecure NFS通过1024以上的端口发送
wdelay 如果多个用户要写入NFS目录，则归组写入（默认）
no_wdelay 如果多个用户要写入NFS目录，则立即写入，当使用async时，无需此设置。
hide 在NFS共享目录中不共享其子目录
no_hide 共享NFS目录的子目录
subtree_check 如果共享/usr/bin之类的子目录时，强制NFS检查父目录的权限（默认）
no_subtree_check 和上面相对，不检查父目录权限
all_squash 共享文件的UID和GID映射匿名用户anonymous，适合公用目录。
no_all_squash 保留共享文件的UID和GID（默认）
root_squash root用户的所有请求映射成如anonymous用户一样的权限（默认）
no_root_squas root用户具有根目录的完全管理访问权限
anonuid=xxx 指定NFS服务器/etc/passwd文件中匿名用户的UID
例如可以编辑/etc/exports为：
/tmp　(rw,no_root_squash)
/home/public　1921680(rw) (ro)
/home/test1921680100(rw)
/home/linux　 the9com(rw,all_squash,anonuid=40,anongid=40)
相关的命令：
1、exportfs命令：
如果我们在启动了NFS之后又修改了/etc/exports，是不是还要重新启动nfs呢？这个时候我们就可以用exportfs命令来使改动立刻生效，该命
令格式如下：
exportfs [-aruv]
-a ：全部mount或者unmount /etc/exports中的内容
-r ：重新mount /etc/exports中分享出来的目录
-u ：umount目录
-v ：在export的时候，将详细的信息输出到屏幕上。
具体例子：
# exportfs -au 卸载所有共享目录
# exportfs -rv 重新共享所有目录并输出详细信息
2、启动NFS
# service portmap start
# service nfs start
检查NFS的运行级别：
# chkconfig --list portmap
# chkconfig --list nfs
根据需要设置在相应的运行级别自动启动NFS：
# chkconfig --level 235 portmap on
# chkconfig --level 235 nfs on
nfsstat:
查看NFS的运行状态，对于调整NFS的运行有很大帮助
rpcinfo：
查看rpc执行信息，可以用于检测rpc运行情况的工具
另外，还需要查看系统的iptables、/etc/hostsallow、/etc/hostsdeny是否设置了正确的NFS访问规则；
3、客户端 *** 作和配置
1、showmout命令对于NFS的 *** 作和查错有很大的帮助，所以我们先来看一下showmount的用法
showmout
-a ：这个参数是一般在NFS SERVER上使用，是用来显示已经mount上本机nfs目录的cline机器。
-e ：显示指定的NFS SERVER上export出来的目录。
例如：
showmount -e 192168030
Export list for localhost:
/tmp
/home/linux linuxorg
/home/public (everyone)
/home/test 1921680100
客户端运行以下命令MOUNT NFS文件系统
#mount -t nfs 1921687050:/opt /mnt/disk1
2、mount nfs目录的方法：
mount -t nfs hostname(orIP):/directory /mount/point
具体例子：
Linux: mount -t nfs 19216801:/tmp /mnt/nfs
mount nfs的其它可选参数：
HARD mount和SOFT MOUNT：
HARD: NFS CLIENT会不断的尝试与SERVER的连接（在后台，不会给出任何提示信息,在LINUX下有的版本仍然会给出一些提示），直到MOUNT
上。
SOFT:会在前台尝试与SERVER的连接，是默认的连接方式。当收到错误信息后终止mount尝试，并给出相关信息。
例如：mount -F nfs -o hard 192168010:/nfs /nfs
rsize和wsize：
文件传输尺寸设定：wsize 来进行设定。这两个参数的设定对于NFS的执行效能有较大的影响
bg：在执行mount时如果无法顺利mount上时，系统会将mount的 *** 作转移到后台并继续尝试mount，直到mount成功为止。（通常在设
定/etc/fstab文件时都应该使用bg，以避免可能的mount不上而影响启动速度）
fg：和bg正好相反，是默认的参数
nfsvers＝n:设定要使用的NFS版本，默认是使用2，这个选项的设定还要取决于server端是否支持NFS VER 3
mountport：设定mount的端口
port：根据server端export出的端口设定，例如如果server使用5555端口输出NFS,那客户端就需要使用这个参数进行同样的设定
timeo=n:设置超时时间，当数据传输遇到问题时，会根据这个参数尝试进行重新传输。默认值是7/10妙（07秒）。如果网络连接不是很稳
定的话就要加大这个数值，并且推荐使用HARD MOUNT方式，同时最好也加上INTR参数，这样你就可以终止任何挂起的文件访问。
intr 允许通知中断一个NFS调用。当服务器没有应答需要放弃的时候有用处。
udp：使用udp作为nfs的传输协议（NFS V2只支持UDP)
tcp：使用tcp作为nfs的传输协议
namlen=n：设定远程服务器所允许的最长文件名。这个值的默认是255
acregmin=n：设定最小的在文件更新之前cache时间，默认是3
acregmax=n：设定最大的在文件更新之前cache时间，默认是60
acdirmin=n：设定最小的在目录更新之前cache时间，默认是30
acdirmax=n：设定最大的在目录更新之前cache时间，默认是60
actimeo=n：将acregmin、acregmax、acdirmin、acdirmax设定为同一个数值，默认是没有启用。
retry=n：设定当网络传输出现故障的时候，尝试重新连接多少时间后不再尝试。默认的数值是10000 minutes
noac:关闭cache机制。
同时使用多个参数的方法：mount -t nfs -o timeo=3,udp,hard 192168030:/tmp /nfs
请注意，NFS客户机和服务器的选项并不一定完全相同，而且有的时候会有冲突。比如说服务器以只读的方式导出，客户端却以可写的方式
mount,虽然可以成功mount上，但尝试写入的时候就会发生错误。一般服务器和客户端配置冲突的时候，会以服务器的配置为准。
3、/etc/fstab的设定方法
/etc/fstab的格式如下：
fs_spec　fs_filefs_type　fs_optionsfs_dump　fs_pass　
fs_spec:该字段定义希望加载的文件系统所在的设备或远程文件系统,对于nfs这个参数一般设置为这样：19216801:/NFS
fs_file:本地的挂载点
fs_type：对于NFS来说这个字段只要设置成nfs就可以了
fs_options:挂载的参数，可以使用的参数可以参考上面的mount参数。
fs_dump　-　该选项被"dump"命令使用来检查一个文件系统应该以多快频率进行转储，若不需要转储就设置该字段为0
fs_pass　-　该字段被fsck命令用来决定在启动时需要被扫描的文件系统的顺序，根文件系统"/"对应该字段的值应该为1，其他文件系统应
该为2。若该文件系统无需在启动时扫描则设置该字段为0 。
4、可能出现的问题
rpc超时问题
在服务器上的hosts文件加上了客户机的ip地址解析。
5、NFS安全
NFS的不安全性主要体现于以下4个方面:
1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现
2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制
3、较早的NFS可以使未授权用户获得有效的文件句柄
4、在RPC远程调用中,一个SUID的程序就具有超级用户权限
加强NFS安全的方法：
1、合理的设定/etc/exports中共享出去的目录，最好能使用anonuid，anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限，最好不要
使用root_squash。
2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围
iptables -A INPUT -i eth0 -p TCP -s 19216800/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 19216800/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140000/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140000/8 --dport 111 -j ACCEPT
如果我们的NFS服务器在防火墙后边，则需要在防火强策略中加入如下策略：
iptables -A INPUT -p tcp -m state --state NEW -m multiport --dport 111,2049,4001,32764:32767 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m multiport --dport 111,2049,4001,32764:32767 -j ACCEPT
3、为了防止可能的Dos攻击，需要合理设定NFSD 的COPY数目。
4、使用 /etc/hostsallow和/etc/hostsdeny 控制客户端的访问
/etc/hostsallow
portmap: 19216800/2552552550 : allow
portmap: 14011644125 : allow
/etc/hostsdeny
portmap: ALL : deny
5、改变默认的NFS 端口
NFS默认使用的是111端口，但同时你也可以使用port参数来改变这个端口，这样就可以在一定程度上增强安全性。
6、使用Kerberos V5作为登陆验证系统

1、宝德4卡服务器
默认用户名：ADMIN 密码：11111111
2、超微服务器
默认用户名：ADMIN 密码：admin000
默认用户名：ADMIN 密码：ADMIN
3、浪潮服务器
型号:NF5270M4 管理地址：手动配置 默认用户名：admin 密码：admin
型号:NF5270M2 管理里地址：1921681100 默认用户名：admin 密码：admin
4、IBM服务器
IBM P小型机ASMI 管理地址：hmc1:1921682147 用户名：admin 密码：admin
管理地址：hmc1:1921683147 用户名：admin 密码：admin
IBM X系列MM端口 管理地址：19216870125/25 用户名：USERID 密码：PASSW0RD
5、华为服务器
E6000 系列 管理地址：10101101-10101110 用户名：root 密码：Huawei12#$
RH2288 v3 系列 管理地址：1921682100 用户名：root 密码：Huawei12#$
RH2288 v5系列 管理地址：1921682100 用户名：Administrator 密码：Admin@9000
T600 系列 管理地址：10101101-10101102 用户名：root 密码：Huawei12#$
X6000系列 管理地址：10101101-10101104 用户名：root 密码：Huawei12#$
HUAWEI VP9650 (视频会议MCU) 用户名：admin 密码：Admin@123
华为AP AP3010DN-V2（无线路由器） 用户名：为admin，密码：admin@huaweicom
通过BIOS修改iBMC默认用户密码
V3服务器BIOS系统的默认密码为“Huawei12#$”，V5服务器BIOS系统的默认密码为“Admin@9000”。BIOS系统只能修改默认iBMC用户的密码。V3服务器的iBMC默认用户为root，默认密码为Huawei12#$；V5服务器的iBMC默认用户为Administrator，默认密码为Admin@9000。
6、H3C服务器
R4900-G2系列 管理地址：19216812/24 用户名：admin 密码：Password@_
7、Dell服务器
IDRAC系列 管理地址：1921680120 用户名：root 密码：calvin
8、联想服务器
RQ940系列 管理地址：1921680120 用户名：lenovo 密码：len0vO
RD530/RD630/RD540/RD640 管理地址：手动配置 用户名：lenovo 密码：lenovo
万全R520系列 管理地址：手动该设置 用户名：lenovo 密码：lenovo
9、曙光服务器
I840-G25系列 管理地址：手动设置 用户名：admin 密码：administrator
10、Hikvision
网络摄像机（IPC）、网络球机（IP DOME）或编码器（DVS）
用户名：admin 密码：12345
1、绿盟
NSFOCUS RSAS （漏扫）
默认2个帐号：reporter，auditor
密码：nsfocus
2、安恒
明御防火墙 admin/adminadmin
3、华为
华为防火墙
admin/Admin@123
系统管理员
admin/Admin@123
审计管理员(配置审计策略和查看审计日志)
audit-admin/Admin@123
4、思科 Cisco
Cisco Expressway-E（网关）
默认密码：
admin/password
1、IBM存储
DS存储 port1 A控192168128101/24 用IBM DS Storage Manager Client管理软件连接
​ port1 B控192168128102/24
port2 A控192168129101/24
​ port2 B控192168129102/24
v5030 T口管理地址：19216801 用户名：superuser 密码：passw0rd
V7000 上管理口地址： 19216870121 用户名：superuser 密码：passw0rd
下 管理口地址：19216870122
2、华为存储
OceanStor 5300 V3/5500 V3(V300R003C00/V300R003C10版本)
A管理口地址：192168128101/24 用户名：admin 密码：Admin@storage
B管理口地址：192168128102/24
OceanStor 5300 V3/5500 V3(V300R003C20版本)
A管理口：192168128101/16
B管理口：192168128102/16 用户名：admin 密码：Admin@storage
OceanStor 5600 V3/5800 V3/6800 V3(V300R003C00/V300R003C10版本)
A管理口：192168128101/16
B管理口：192168128102/16 用户名：admin 密码：Admin@storage
OceanStor 5600 V3/5800 V3/6800 V3(V300R003C20版本)
A管理口：192168128101/16
B管理口：192168128102/16 用户名：admin 密码：Admin@storage
以上默认的内部心跳IP 双控：12712712710-11/24
四控：12712712710-13/24
以上维护网口IP 17231128101/16
17231128102/16
3、华赛存储
S1200系列 默认管理地址：1921681681 用户名：root 密码：password
V1000/S500系列 默认管理地址：192168128101-102/24 用户名：admin 密码：123456
4、Dell存储
MD3600系列 默认管理地址：192168128101/102 连接方式：用DELL MDSM软件连接
5、联想EMC
5100系列 默认管理地址：1111/1112 用户名：root 密码：lenovo
6、曙光存储
DS800-G35系列 默认地址：1921680210/1921680220 用户名：admin 密码：admin
7、宏杉存储
MS系列 默认地址：1921680210/1921680220 用户名：admin 密码：admin
8、同有存储
NetStor iSUM450G2系列 默认地址：1921680200 用户名：administator 密码：password
常用设备管理口默认用户名密码汇总
各大厂商设备默认密码
常见web系统默认口令总结

---