CentOS下NFS服务器配置实例

LINUX下NFS的配置与安全设置

Redhat Linux NFS配置     NFS简介：     NFS是网络文件系统的简写（network file system），主要用在linux或unix环境中，是有sun公司开发，并于1984年推出的一个RPC服务系统。     NFS功能介绍：     他可以将多个目录或者单个目录进行发布，例如我们在网刻系统的时候可以用NFS来共享光盘镜像，NFS是以发布目录的方式将文件进行发布，而客户端是以挂载的方式进行访问。客户端可以节省本地空间，将数据存放在nfs服务器上。NFS也可以针对但个用户以及多用户设置不同的访问权限。     详细配置步骤：     安装NFS必须要开启的服务有：nfs、portmap、     NFS的配置相对于其他服务是比较简单的，我们依然还是要注意防火墙以及SElinux，     首先我们检查软件是否已安装，这里我已经都安装了。     在安装redhat linux 时这些包默认就已被安装，如果你检查发现没有安装，可以使用一下命令进行安装；     #rpm –ivh nfs*     #rpm –ivh portmap     配置NFS，配置文件在/etc/exports     首先我们使用vim打开/etc/exports 我们会发现这是一个空文件，里面没有任何内容。如果没有此文件，我们可以新创建一个，     这里我们举个例子来完成对NFS的配置，     例如：公司有多台计算机，而其中只有一台服务器有光驱，而我们其他的计算机也想安装光盘上的软件，现在我们就可以用NFS来实现。例如我们的服务器光驱挂载在/media上，接下来我们来编辑配置文件来实现以上的功能。     依然使用vi打开配置文件编辑以下内容：       然后保存退出，这个文件里我们只需编辑俩个字段：前面的为共享目录，后面的为哪些人可以访问以及访问权限，*代表所有人（ro）为只读权限。     启动服务 然后我们可以使用exportfs命令查询输出的目录     客户端挂载     需要启动服务 portmap     使用mount命令挂载，例如我/下有nfs目录，我将挂载到nfs目录上         然后我们就可以访问光盘目录了，     反挂载使用umount /nfs     我们还可以使用shoumount --export 192.168.0.7   查看NFS所发布的目录     如果您想共享其他的目录也是安装同样的方法，注意权限问题，目录权限和共享权限。     一些相关共享权限：     ro 客户端为只读权限     rw 客户端为读写权限     root_sqush 客户端使用root访问时映射为nobady （默认选项）     no_root_squash 客户端映射为root访问     启动服务的其它方式：/etc/rc.d/init.d/portmap start   /etc/rc.d/init.d/nfs start     部分配置文件细节     exports文件内容格式：     <输出目录> [客户端1 选项（访问权限，用户映射，其他）] [客户端2 选项（访问权限，用户映射，其他）]     1.输出目录：     输出目录是指NFS系统中需要共享给客户机使用的目录；     2.客户端：     客户端是指网络中可以访问这个NFS输出目录的计算机     客户端常用的指定方式     指定ip地址的主机 192.168.0.200     指定子网中的所有主机 192.168.0.0/24     指定域名的主机 a.liusuping.com     指定域中的所有主机 *.liusuping.com     所有主机 *     3.选项：     选项用来设置输出目录的访问权限、用户映射等。NFS主要有3类选项：     访问权限选项     设置输出目录只读 ro     设置输出目录读写 rw     用户映射选项 all_squash 将远程访问的所有普通用户及所属组都映射为匿名用户或用户组（nfsnobody）；     no_all_squash 与all_squash取反（默认设置）；     root_squash 将root用户及所属组都映射为匿名用户或用户组（默认设置）；     no_root_squash 与rootsquash取反；     anonuid=xxx 将远程访问的所有用户都映射为匿名用户，并指定该用户为本地用户（UID=xxx）；     anongid=xxx 将远程访问的所有用户组都映射为匿名用 户组账户，并指定该匿名用户组账户为本地用户组账户（GID=xxx）；     其它选项     secure 限制客户端只能从小于1024的tcp/ip端口连接nfs服务器（默认设置）；     insecure 允许客户端从大于1024的tcp/ip端口连接服务器；     sync 将数据同步写入内存缓冲区与磁盘中，效率低，但可以保证数据的一致性；     async 将数据先保存在内存缓冲区中，必要时才写入磁盘；     wdelay 检查是否有相关的写操作，如果有则将这些写操作 一起执行，这样可以提高效率（默认设置）；     no_wdelay 若有写操作则立即执行，应与sync配合使用；     subtree 若输出目录是一个子目录，则nfs服务器将检查其父目录的权限（默认设置）；     no_subtree 即使输出目录是一个子目录，nfs服务器也不检查其父目录的权限，这样可以提高效率；     /home/work 192.168.0.*（rw,sync,no_root_squash）     内容表示：允许ip 地址范围在192.168.0.*的计算机以读写的权限来访问/home/work 目录。     /home/work 也称为服务器输出共享目录。     括号内的参数意义描述如下：     rw:读/写权限，只读权限的参数为ro;     sync:数据同步写入内存和硬盘，也可以使用async,此时数据会先暂存于内存中，而不立即写入硬盘。     no_root_squash:NFS 服务器共享目录用户的属性，如果用户是 root,那么对于这个共享目录来说就具有 root 的权限。     接着执行如下命令，启动端口映射：     # /etc/rc.d/init.d/portmap start     最后执行如下命令启动NFS 服务，此时NFS 会激活守护进程，然后就开始监听 Client 端的请求：     # /etc/rc.d/init.d/nfs start     用户也可以重新启动Linux 服务器，自动启动Linux NFS 服务。     在NFS 服务器启动后，还需要检查Linux 服务器的防火墙等设置（一般需要关闭防火墙服务），确保没有屏蔽掉NFS 使用的端口和允许通信的主机，主要是检查Linux 服务器iptables,ipchains 等选项的设置，以及/etc/hosts.deny,/etc/hosts.allow 文件。     我们首先在Linux 服务器上进行NFS 服务器的回环测试，验证共享目录是否能够被访问。在Linux 服务器上运行如下命令：     # mount –t nfs 192.168.0.20:/home/work /mnt     # ls /mnt     命令将Linux 服务器的NFS 输出共享目录挂载到/mnt 目录下，因此，如果NFS 正常工作，应该能够在/mnt 目录看到/home/work 共享目录中的内容。     客户端 mount命令   mount –t nfs 192.168.0.20:/home/work /mnt/nfs –o nolock     简单脚本执行     host启动nfs:     snfs     #!/bin/bash     ifconfig eth0 192.168.0.20     /etc/rc.d/init.d/portmap start     /etc/rc.d/init.d/nfs start     嵌入式目标机挂载nfs:     mnfs:     #!/bin/sh     mount -t nfs 192.168.0.20:/home/work/nfs /mnt/nfs -o nolock     echo "nfs ok!"     在客户端查看NFS各种状态     showmount -e 可看有分享哪些目录     # showmount -a 可看出所有的 mount     # showmount -e 172.16.75.1     在服务端 显示当前主机NFS服务器中已经被NFS客户机挂载使用的共享目录    # showmount -d     检查NFS的运行级别：     # chkconfig --list portmap     # chkconfig --list nfs     根据需要设置在相应的运行级别自动启动NFS：     # chkconfig --level 235 portmap on     # chkconfig --level 235 nfs on     客户端开机自动挂载     通过修改/etc/fstab文件可以实现开机自动挂载nfs目录     [root@linux-b nfs1]# vim /etc/fstab     /dev/VolGroup00/LogVol00 /                       ext3    defaults        1 1     LABEL=/boot             /boot                   ext3    defaults        1 2     devpts                  /dev/pts                devpts  gid=5,mode=620  0 0     tmpfs                   /dev/shm                tmpfs   defaults        0 0     proc                    /proc                   proc    defaults        0 0     sysfs                   /sys                    sysfs   defaults        0 0     /dev/VolGroup00/LogVol01 swap                    swap    defaults        0 0     192.168.0.231:/nfs/frank        /mnt/nfs1       nfs     defaults        0 0     1、在配置NFS服务器之前用ping命令确保两个linux系统正常连接，如果无法连接关闭图形界面中的防火墙#service iptables stop     2、更改完“exports”文件后要输入exportfs –rv ，使得“exports”文件生效。     3、检查nfs服务是否开启，默认是关闭的。

###############################################################################################################

一，应用环境介绍：

用途

操作系统

IP地址

服务器端

CentOS 5.2 X86_64

192.168.0.121

客户端

CentOS 5.2 X86_64

192.168.0.122

 

 

二，NFS相关软件的安装：

[root@youxia122 ~]# yum -y install portmap nfs*

 

 

三，服务器端配置：

1，创建共享的目录：

[root@youxia121 data]# mkidr /usr/local/data/

 

2，修改NFS配置文件：

[root@youxia121 data]# vi /etc/exports

/usr/local/data/ 192.168.0.122(rw,no_root_squash,no_all_squash,sync)

 

注：配置文件说明：

/usr/local/data/ 为共享的目录，使用绝对路径。

192.168.0.122(rw,no_root_squash,no_all_squash,sync) 为客户端的地址及权限，地址可以是一个网段，一个IP地址或者是一个域名，域名支持通配符，如：*.youxia.com，地址与权限中间没有空格，权限说明：

rw：read-write，可读写；

ro：read-only，只读；

sync：文件同时写入硬盘和内存；

async：文件暂存于内存，而不是直接写入内存；

no_root_squash：NFS客户端连接服务端时如果使用的是root的话，那么对服务端分享的目录来说，也拥有root权限。显然开启这项是不安全的。

root_squash：NFS客户端连接服务端时如果使用的是root的话，那么对服务端分享的目录来说，拥有匿名用户权限，通常他将使用nobody或nfsnobody身份；

all_squash：不论NFS客户端连接服务端时使用什么用户，对服务端分享的目录来说都是拥有匿名用户权限；

anonuid：匿名用户的UID值，通常是nobody或nfsnobody，可以在此处自行设定；

anongid：匿名用户的GID值。

NFS服务器配置：         创建一个目录用于共享，然后再用vi /etc/exports编辑文件，在里面 添加内容，格式如下：  [共享的目录] [主机名或ip(参数1，参数2)] [主机名或ip(参数1，参数2)] ... NFS常用到的参数有：  ro  只读  rw  读写  sync  所有数据在请求时写入共享  async  nfs在写入数据前可以相应的请求  secure  nfs通过1024以下端口发送  insecure nfs通过1024以上端口发送  wdenlay  有多个用户写入nfs目录，则归组写入  no_wdelay 有多个用户写入nfs目录，则立即写入  hide  不共享子目录  no_hide  共享子目录  subtree_check 如果共享/usr/bin之类的子目录，强制nfs检查父目录的权限  no_subtree_check不检查父目录权限  all_squash 共享文件的uid和gid映射匿名用户anonymous，适用公用目录  no_all_squash 保留共享文件的uid和gid  root_squash root用户的所有请求映射成和anonymous用户一样的权限  no_root_squash root用户具有根目录的完全管理访问权限  anonuid=xxx 指定nfs服务器/etc/passwd文件匿名用户的uid  anongid=xxx 指定nfs服务器/etc/passwd文件匿名用户的gid 配置完成后要重启nfs服务例如：/etc/init.d/nfs restart

在linux客户机上要查看nfs资源可以用showmount -e 服务端ip地址，测试是否通讯成功

如果要用windows系统不能直接访问NFS服务器，如果要共享可以用samba服务器。

 

四，启动NFS服务器并进行测试：

1，启动NFS服务器：

[root@youxia121 data]# service portmap start

启动 portmap：[确定]

[root@youxia121 data]# service nfs start

启动 NFS 服务： [确定]

关掉 NFS 配额：[确定]

启动 NFS 守护进程：[确定]

启动 NFS mountd：[确定]

 

2，在客户端进行测试：

创建需要挂载的目录：

[root@youxia122 local]# mkdir /usr/local/data/

 

执行挂载命令：

[root@youxia122 local]# mount -t nfs 192.168.0.121:/usr/local/data /usr/local/data  -o proto=tcp -o nolock

 

在客户端创建一个测试文件并进行检查：

[root@youxia122 ~]# cd /usr/local/data/

[root@youxia122 data]# echo "this is a test" >> /usr/local/data/hehehe

[root@youxia122 data]# ll -h

总计 8.0K

-rw-r--r-- 1 root root 15 02-23 16:47 hehehe

 

在服务器端检查：

[root@youxia121 usr]# ll -h /usr/local/data/

总计 8.0K

-rw-r--r-- 1 root root 15 02-23 16:47 heheh

 

 

五，我在配置中遇到的问题：

1，在启动NFS服务器的时候遇到的一个问题如下，原因在于NFS配置文件中地址与权限中间多了一个空格，去掉空格重新启动即可：

[root@youxia121 local]# service nfs restart

关闭 NFS mountd：[确定]

关闭 NFS 守护进程：[确定]

关闭 NFS 服务： [确定]

启动 NFS 服务： exportfs: No options for /usr/local/data/ 192.168.0.122: suggest 192.168.0.122(sync) to avoid warning

exportfs: No host name given with /usr/local/data (rw,no_root_squash,no_all_squash,sync), suggest *(rw,no_root_squash,no_all_squash,sync) to avoid warning

[确定]

关掉 NFS 配额：[确定]

启动 NFS 守护进程：[确定]

启动 NFS mountd：[确定]

 

 

2，客户端在挂载的时候遇到的一个问题如下，可能是网络不太稳定，NFS默认是用UDP协议，换成TCP协议即可：

[root@youxia122 local]# mount -t nfs 192.168.0.121:/usr/local/data /usr/local/data

mount.nfs: Input/output error

 

解决方法：mount -t nfs 192.168.0.121:/usr/local/data /usr/local/data  -o proto=tcp -o nolock

 

本篇文章没有结论，只有思路。有兴趣的自己做做吧。

所有的事情都有个缘由的，这个事情我就比较烦。用来NFS，以前觉得简单，所以没有特别在意。这次想用NFS，并且打开iptables的情况下，就发现了问题。 问题描述：已经在Server端iptables上，打开portmap的端口111，后来得知NFS 4用的端口是2049，当时使用图形界面配置，所以也打开了。但是客户端就是错误。showmount -e serverIP的时候报mount clntudp_create: RPC: Port mapper failure - RPC: Unable to receive，关闭iptalbes就OK。再查，知道了。NFS和RPC的关系得知了一些NFS在2、3版本的时候的一些相关进程。（这些具体进程，可以看我的参考文档）,总之，当使用3的版本时，要将相关联的端口打开。而那几个端口是随机的，如果想指定为固定端口，需要在/etc/sysconfig/nfs里面定义。而NFS 4的版本是不需要portmap的。但是需要配合krb5来做。很麻烦，都是思路。除非真的用。我是不想弄了。 写写思路就得了。 几个命令用得着： man -k nfs   exportfs -r nfsstat 引用 参考文档： 1: RHEL5 Deployment_Guide.eng.pdf 2: http://slackwiki.org/NFS_and_Firewall 3: http://www.guyong.cn/blog/article.asp?id=168 4: http://wiki.linux-nfs.org/wiki/index.php/Main_Page 忍不住，还是处理了。具体操作如下： 修改/etc/sysconfig/nfs [root@kook ~]# grep -v ^# /etc/sysconfig/nfs LOCKD_TCPPORT=4001 LOCKD_UDPPORT=4001 MOUNTD_PORT=4002 STATD_PORT=4003 [root@kook ~]# cat /etc/sysconfig/iptables ................. -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4001 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 4001 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4002 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 4002 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4003 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 4003 -j ACCEPT .................