NFSサーバのIPアドレス制限は割と簡単に回避できるNFSの仕様を理解していない方が多いようですが、NFSのマウント成功=NFS上にrootを除く任意のユーザとしてアクセス可能(デフォルト設定の場合。nosquashしていればrootでも素通りする)であるということです kerberos使ってないNFSを特定条件下で外部から割と簡単にマウントできてしまった話です。 NFSのセキュリティ機構といえばkerberosですが、 この設定が難解で運用が難しく、/homeに使うにはsshの公開鍵認証との相性が悪い事もあり、 IPアドレスベースの制限で済ませている環境も多いかと思います。 IPアドレスベースで制限をかけ、ネットワーク的に独立していれば安全、そう思っていた時期が私にもありました・・・ 想定するネットワークの構成は [ファイルサーバS(NFS)] – SAN – [クライアントマシンC(一般ユーザがssh接続可能)] – 外部 という構成で
