nfs 에는 접근 보안이 없다. 서버의 존재와 주소만 알고 있다면, 누구나 마운트해서 쓸 수가 있다. 물론, 기본 소유권은 있지만, 그걸로 충분하지는 않다.
보다 엄격한 방식을 적용하는 건 내 능력 밖이고, 이런 상황을 생각해봤다.
공유기를 통해 내부 네트웍을 사용 중이다. 내부에 nfs 서버를 사용하고 있고, 공개하고 싶지 않은 자료도 있다.
가끔 외부인이 방문하여 네트웍을 사용하기도 하는데, 그들로 부터 nfs 를 지키고 싶다. (사실, 그 사람들은 nfs 가 뭔지 알 지도 못한다.)
이 때, 문득 든 생각.
‘nfs 서버에서 서브넷을 제한하여, 일부 IP 에게만 개방하는 방법도 가능하지 않을까?’
가능했다.
/etc/exports 를 이런 식으로 설정해주면 된다.
/nfs 192.168.1.0/27(rw,root_squash,no_subtree_check,async)
이렇게 하면, 192.168.1.1 ~ 192.168.1.31 로 된 IP 주소를 부여받은 기기만 nfs 접속이 가능하다.
이를 위해선, 필요한 기기들은 수동으로 IP 를 할당하든가, 아니면 Static Leases 기능으로, mac 주소에 따라 IP 를 고정시켜 사용할 수 있게 하는 작업이 필수다.
그리고, 자동할당 IP 들은 저 뒤 번호들로 할당 되게끔(100~150 등) 설정해놓으면, nfs 접근이 불가능해진다.
물론.. 이렇게한들 IP 를 수동 설정한 뒤 접근하면 말짱 꽝이긴 하지만.
아니면 아예, nfs 에서 접근 가능한 IP 에게만 사용가능하도록 할 수도 있긴 하다.
허나 그렇게 하기엔 좀 너무 번거롭기에..
그저 살짝 흉내만 내봤어..
RSS - Posts