NFS目标主机showmount -e信息泄露（CEE-1999-0554）配置解决思路

对于NFS的配置而言，在一家公司内部，不管是VPC还是C段之间，理论上都是做隔离的。因此，上述的这个漏洞一般而言仅在C段内部生效。

漏洞的原理：

在网络互通的情况下，网络内的其他主机可以通过showmount -e方式，查看到其他主机NFS共享目录结构信息。比如showmount -e 10.10.10.10 。

NFS的权限控制：

• NFS的挂载权限配置在/etc/exports中配置

• 查看挂载目录的权限控制在/etc/hosts.allow /etc/hosts.deny中配置

解决这个漏洞时，建议将两者保持一致。

举例：

# /etc/exports配置如下：
/data/nfs 10.10.10.0/24(rw,no_root_squash,no_all_squash,sync)


# /etc/hosts.deny
mountd:  all                       #cent7.0设置方式
Portmap:ALL:deny                   #cent6.0设置方式
rpcbind: ALL : deny                #cent5.0设置方式

# /etc/hosts.allow 
mountd:  10.10.10.0/24                       #cent7.0设置方式
Portmap:10.10.10.0/24:allow                  #cent6.0设置方式
rpcbind:10.10.10.0/24:allow                  #cent5.0设置方式

其实当其他主机不需要远程查看某台主机的挂载情况是，直接在/etc/hosts.deny将mountd: all 写上，不开白名单也是可以的。一般而言，没人一天到晚通过showmount -e去查其他机器的目录情况。自己有几台NFS心里面应该很清楚。