如何在LinuxMint 19上安装和配置NFS服务器

网络文件系统(NFS)是一种分布式文件系统协议,使您可以通过网络共享远程目录。 使用NFS,您可以在系统上挂载远程目录,并像使用本地文件一样使用远程计算机上的文件。

NFS协议默认情况下未加密,并且与Samba不同,它不提供用户身份验证。 客户端IP地址或主机名限制了对服务器的访问。

在本教程中,我们将介绍如何在LinuxMint 19上设置NFSv4服务器。我们还将向您展示如何在客户端上安装NFS文件系统。

先决条件

本示例假定您有一台运行LinuxMint 19的服务器,另一台运行其他Linux发行版的服务器。 服务器和客户端应该能够通过专用网络相互通信。 如果您的托管服务提供商不提供私有IP地址,则可以使用公共IP地址并配置服务器防火墙以允许端口上的流量 2049 仅来自受信任的来源。

本示例中的机器具有以下IP:

NFS Server IP: 192.168.33.10
NFS Clients IPs: From the 192.168.33.0/24 range

设置NFS服务器

我们将从安装和配置NFS服务器开始。

安装NFS服务器

刷新软件包索引并安装NFS服务器软件包:

sudo apt update
sudo apt install nfs-kernel-server

默认情况下,在LinuxMint 19上禁用NFS版本2。 版本3和版本4已启用。 您可以通过运行以下命令来验证 cat 命令:

sudo cat /proc/fs/nfsd/versions

输出:

-2 +3 +4 +4.1 +4.2

NFSv2现在已经很老了,没有理由启用它。

NFS服务器配置选项在 /etc/default/nfs-kernel-server/etc/default/nfs-common 文件。 在我们的情况下,默认设置就足够了。

创建文件系统

配置NFSv4服务器时,一个好的做法是使用全局NFS根目录,并将实际目录绑定安装到共享安装点。 在此示例中,我们将使用 /srv/nfs4 导演作为NFS根。

我们将共享两个目录(/var/www/opt/backups),并使用不同的配置设置来更好地说明如何配置NFS挂载。

/var/www/ 由用户和组拥有 www-data/opt/backups 由…拥有 root

使用以下命令创建导出文件系统 mkdir 命令:

sudo mkdir -p /srv/nfs4/backups
sudo mkdir -p /srv/nfs4/www

挂载实际目录:

sudo mount --bind /opt/backups /srv/nfs4/backups
sudo mount --bind /var/www /srv/nfs4/www

要使绑定架永久固定,请打开 /etc/fstab 文件:

sudo nano /etc/fstab

并添加以下行:

/opt/backups /srv/nfs4/backups  none   bind   0   0
/var/www     /srv/nfs4/www      none   bind   0   0

导出文件系统

下一步是定义将由NFS服务器,共享选项和允许访问这些文件系统的客户端导出的文件系统。 为此,请打开 /etc/exports 文件:

sudo nano /etc/exports

/etc/exports 该文件还包含描述如何导出目录的注释。

在我们的情况下,我们需要导出 wwwbackups 目录并仅允许来自客户端的访问 192.168.33.0/24 网络:

/ etc / exports

/srv/nfs4         192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www     192.168.33.110(rw,sync,no_subtree_check)

第一行包含 fsid=0 定义NFS根目录 /srv/nfs。 仅允许来自NFS卷的客户端对此NFS卷进行访问 192.168.33.0/24 子网。 的 crossmnt 共享目录是导出目录的子目录是必需的。

第二行显示了如何为一个文件系统指定多个导出规则。 它出口 /srv/nfs4/backups 目录,并且只允许整体读取 192.168.33.0/24 范围以及对以下内容的读写访问权限 192.168.33.3。 的 sync 选项告诉NFS在回复之前将更改写入磁盘。

最后一行应该是不言自明的。 有关所有可用选项类型的更多信息 man exports 在您的终端中。

保存文件并导出共享:

sudo exportfs -ra

每次您修改 /etc/exports 文件。 如果有任何错误或警告,它们将显示在终端上。

要查看当前活动的出口及其状态,请使用:

sudo exportfs -v

输出将包括所有份额及其选项。 如您所见,还有一些我们尚未在 /etc/exports 文件。 这些是默认选项,如果要更改它们,则需要显式设置这些选项。

/srv/nfs4/backups
		192.168.33.3(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 	192.168.33.110(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4     	192.168.33.0/24(rw,wdelay,crossmnt,root_squash,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups
		192.168.33.0/24(ro,wdelay,root_squash,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)

在LinuxMint上, root_squash 默认情况下启用。 这是有关NFS安全性的最重要的选择之一。 它可以防止从客户端连接的root用户对已安装的共享具有root特权。 它将映射根 UIDGIDnobody/nogroup``UID/GID

为了使客户端计算机上的用户能够访问,NFS希望客户端的用户和组ID与服务器上的用户和组ID匹配。 另一种选择是使用NFSv4 idmapping功能,将用户和组ID转换为名称,反之亦然。

而已。 至此,您已经在LinuxMint服务器上设置了NFS服务器。 现在,您可以转到下一步并配置客户端,然后连接到NFS服务器。

防火墙配置

如果您在网络上运行防火墙,则需要添加一条规则,以在NFS端口上启用流量。

假设您正在使用 UFW 管理防火墙以允许从 192.168.33.0/24 子网,您需要运行以下命令:

sudo ufw allow from 192.168.33.0/24 to any port nfs

要验证更改运行:

sudo ufw status

输出应显示端口上的流量 2049 被允许:

输出:

To                         Action      From
--                         ------      ----
2049                       ALLOW       192.168.33.0/24           
22/tcp                     ALLOW       Anywhere                  
22/tcp (v6)                ALLOW       Anywhere (v6)  

设置NFS客户端

既然已经设置了NFS服务器并导出了共享,则下一步将配置客户端并安装远程文件系统。

您还可以在macOS和Windows计算机上挂载NFS共享,但是我们将重点关注Linux系统。

安装NFS客户端

在客户端计算机上,我们只需要安装挂载远程NFS文件系统所需的工具。

  • 在LinuxMint / Debian / Ubuntu上安装NFS客户端

    该软件包的名称包括用于在基于Debian的发行版上安装NFS文件系统的程序。 nfs-common。 要安装它,请运行:

    sudo apt update
    sudo apt install nfs-common
    
  • 在CentOS和Fedora上安装NFS客户端

    在Red Hat及其衍生版本上安装 nfs-utils 包:

    sudo yum install nfs-utils
    

挂载文件系统

我们将在具有IP的客户端计算机上工作 192.168.33.110 拥有对 /srv/nfs4/www 文件系统和对 /srv/nfs4/backups 文件系统。

为安装点创建两个新目录。 您可以在所需的任何位置创建此目录。

sudo mkdir -p /backups
sudo mkdir -p /srv/www

使用以下命令挂载导出的文件系统: mount 命令:

sudo mount -t nfs -o vers=4 192.168.33.10:/backups /backups
sudo mount -t nfs -o vers=4 192.168.33.10:/www /srv/www

哪里 192.168.33.10 是NFS服务器的IP。 您也可以使用主机名代替IP地址,但是客户端计算机需要解析该主机名。 通常通过将主机名映射到IP地址中的IP /etc/hosts 文件。

挂载NFSv4文件系统时,需要省略NFS根目录,因此, /srv/nfs4/backups 你需要使用 /backups

验证使用挂载或远程文件系统是否成功挂载 df命令:

df -h

该命令将打印所有已挂载的文件系统。 最后两行是已安装的共享:

Filesystem                       Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00   38G  1.7G   36G   5% /
devtmpfs                         236M     0  236M   0% /dev
tmpfs                            244M     0  244M   0% /dev/shm
tmpfs                            244M  4.5M  240M   2% /run
tmpfs                            244M     0  244M   0% /sys/fs/cgroup
/dev/sda2                       1014M   87M  928M   9% /boot
tmpfs                             49M     0   49M   0% /run/user/1000
192.168.33.10:/backups           9.7G  1.2G  8.5G  13% /backups
192.168.33.10:/www               9.7G  1.2G  8.5G  13% /srv/www

要使挂载在重启时永久存在,请打开 /etc/fstab 文件:

sudo nano /etc/fstab

并添加以下行:

/ etc / fstab

192.168.33.10:/backups /backups   nfs   defaults,timeo=900,retrans=5,_netdev	0 0
192.168.33.10:/www /srv/www       nfs   defaults,timeo=900,retrans=5,_netdev	0 0

要查找有关挂载NFS文件系统时可用选项的更多信息,请键入 man nfs 在您的终端中。

挂载远程文件系统的另一种选择是使用 autofs 工具或创建系统单元。

测试NFS访问

让我们通过为每个共享创建一个新文件来测试对共享的访问。

首先,尝试创建一个测试文件 /backups 目录使用 touch 命令:

sudo touch /backups/test.txt

/backup 文件系统导出为只读,并且按预期,您将看到一个 Permission denied 错误信息:

输出:

touch: cannot touch ‘/backups/test’: Permission denied

接下来,尝试创建一个测试文件到 /srv/www 根目录使用 sudo 命令:

sudo touch /srv/www/test.txt

同样,您会看到 Permission denied 信息。

输出:

touch: cannot touch ‘/srv/www’: Permission denied

/var/www 目录由 apache 用户,并且此共享有 root_squash选项集,它将根用户映射到 nobody 用户和 nogroup 没有对远程共享的写权限的组。

假设一个用户 apache 在客户端计算机上存在相同的 UIDGID 就像在远程服务器上一样(例如,如果您在两台计算机上都安装了apache,情况就是如此),您可以测试以用户身份创建文件 apache 与:

sudo -u apache touch /srv/www/test.txt

该命令将不显示任何输出,表示文件已成功创建。

要验证它是否列出了 /srv/www 目录:

ls -la /srv/www

输出应显示新创建的文件:

输出:

drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .
drwxr-xr-x 3 root     root     4096 Jun 23 22:29 ..
-rw-r--r-- 1 apache apache    0 Jun 23 21:58 index.html
-rw-r--r-- 1 apache apache    0 Jun 23 22:18 test.txt

卸载NFS文件系统

如果不再需要远程NFS共享,则可以使用umount命令将其卸载为任何其他已安装的文件系统。 例如,要卸载 /backup 分享您将要运行的内容:

sudo umount /backups

如果安装点在 /etc/fstab 文件,请确保删除该行或通过添加注释掉它 # 在该行的开头。

结论

在本教程中,我们向您展示了如何设置NFS服务器以及如何在客户端计算机上安装远程文件系统。 如果您要在生产中实现NFS并共享敏感数据,则启用kerberos身份验证是一个好主意。

作为NSF的替代方法,您可以使用SSHFS通过SSH连接安装远程目录。 SSHFS默认情况下是加密的,并且更易于配置和使用。

如有任何疑问,请随时发表评论。

Sidebar