如何在LinuxMint 19上安装和配置NFS服务器
网络文件系统(NFS)是一种分布式文件系统协议,使您可以通过网络共享远程目录。 使用NFS,您可以在系统上挂载远程目录,并像使用本地文件一样使用远程计算机上的文件。
NFS协议默认情况下未加密,并且与Samba不同,它不提供用户身份验证。 客户端IP地址或主机名限制了对服务器的访问。
在本教程中,我们将介绍如何在LinuxMint 19上设置NFSv4服务器。我们还将向您展示如何在客户端上安装NFS文件系统。
先决条件
本示例假定您有一台运行LinuxMint 19的服务器,另一台运行其他Linux发行版的服务器。 服务器和客户端应该能够通过专用网络相互通信。 如果您的托管服务提供商不提供私有IP地址,则可以使用公共IP地址并配置服务器防火墙以允许端口上的流量 2049 仅来自受信任的来源。
本示例中的机器具有以下IP:
NFS Server IP: 192.168.33.10
NFS Clients IPs: From the 192.168.33.0/24 range
设置NFS服务器
我们将从安装和配置NFS服务器开始。
安装NFS服务器
刷新软件包索引并安装NFS服务器软件包:
sudo apt update
sudo apt install nfs-kernel-server
默认情况下,在LinuxMint 19上禁用NFS版本2。 版本3和版本4已启用。 您可以通过运行以下命令来验证 cat 命令:
sudo cat /proc/fs/nfsd/versions
输出:
-2 +3 +4 +4.1 +4.2
NFSv2现在已经很老了,没有理由启用它。
NFS服务器配置选项在 /etc/default/nfs-kernel-server 和 /etc/default/nfs-common 文件。 在我们的情况下,默认设置就足够了。
创建文件系统
配置NFSv4服务器时,一个好的做法是使用全局NFS根目录,并将实际目录绑定安装到共享安装点。 在此示例中,我们将使用 /srv/nfs4 导演作为NFS根。
我们将共享两个目录(/var/www 和 /opt/backups),并使用不同的配置设置来更好地说明如何配置NFS挂载。
的 /var/www/ 由用户和组拥有 www-data 和 /opt/backups 由…拥有 root。
使用以下命令创建导出文件系统 mkdir 命令:
sudo mkdir -p /srv/nfs4/backups
sudo mkdir -p /srv/nfs4/www
挂载实际目录:
sudo mount --bind /opt/backups /srv/nfs4/backups
sudo mount --bind /var/www /srv/nfs4/www
要使绑定架永久固定,请打开 /etc/fstab 文件:
sudo nano /etc/fstab
并添加以下行:
/opt/backups /srv/nfs4/backups none bind 0 0
/var/www /srv/nfs4/www none bind 0 0
导出文件系统
下一步是定义将由NFS服务器,共享选项和允许访问这些文件系统的客户端导出的文件系统。 为此,请打开 /etc/exports 文件:
sudo nano /etc/exports
的
/etc/exports该文件还包含描述如何导出目录的注释。
在我们的情况下,我们需要导出 www 和 backups 目录并仅允许来自客户端的访问 192.168.33.0/24 网络:
/ etc / exports
/srv/nfs4 192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www 192.168.33.110(rw,sync,no_subtree_check)
第一行包含 fsid=0 定义NFS根目录 /srv/nfs。 仅允许来自NFS卷的客户端对此NFS卷进行访问 192.168.33.0/24 子网。 的 crossmnt 共享目录是导出目录的子目录是必需的。
第二行显示了如何为一个文件系统指定多个导出规则。 它出口 /srv/nfs4/backups 目录,并且只允许整体读取 192.168.33.0/24 范围以及对以下内容的读写访问权限 192.168.33.3。 的 sync 选项告诉NFS在回复之前将更改写入磁盘。
最后一行应该是不言自明的。 有关所有可用选项类型的更多信息 man exports 在您的终端中。
保存文件并导出共享:
sudo exportfs -ra
每次您修改 /etc/exports 文件。 如果有任何错误或警告,它们将显示在终端上。
要查看当前活动的出口及其状态,请使用:
sudo exportfs -v
输出将包括所有份额及其选项。 如您所见,还有一些我们尚未在 /etc/exports 文件。 这些是默认选项,如果要更改它们,则需要显式设置这些选项。
/srv/nfs4/backups
192.168.33.3(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 192.168.33.110(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4 192.168.33.0/24(rw,wdelay,crossmnt,root_squash,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups
192.168.33.0/24(ro,wdelay,root_squash,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)
在LinuxMint上, root_squash 默认情况下启用。 这是有关NFS安全性的最重要的选择之一。 它可以防止从客户端连接的root用户对已安装的共享具有root特权。 它将映射根 UID 和 GID 至 nobody/nogroup``UID/GID。
为了使客户端计算机上的用户能够访问,NFS希望客户端的用户和组ID与服务器上的用户和组ID匹配。 另一种选择是使用NFSv4 idmapping功能,将用户和组ID转换为名称,反之亦然。
而已。 至此,您已经在LinuxMint服务器上设置了NFS服务器。 现在,您可以转到下一步并配置客户端,然后连接到NFS服务器。
防火墙配置
如果您在网络上运行防火墙,则需要添加一条规则,以在NFS端口上启用流量。
假设您正在使用 UFW 管理防火墙以允许从 192.168.33.0/24 子网,您需要运行以下命令:
sudo ufw allow from 192.168.33.0/24 to any port nfs
要验证更改运行:
sudo ufw status
输出应显示端口上的流量 2049 被允许:
输出:
To Action From
-- ------ ----
2049 ALLOW 192.168.33.0/24
22/tcp ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
设置NFS客户端
既然已经设置了NFS服务器并导出了共享,则下一步将配置客户端并安装远程文件系统。
您还可以在macOS和Windows计算机上挂载NFS共享,但是我们将重点关注Linux系统。
安装NFS客户端
在客户端计算机上,我们只需要安装挂载远程NFS文件系统所需的工具。
- 在LinuxMint / Debian / Ubuntu上安装NFS客户端
该软件包的名称包括用于在基于Debian的发行版上安装NFS文件系统的程序。
nfs-common。 要安装它,请运行:sudo apt update sudo apt install nfs-common - 在CentOS和Fedora上安装NFS客户端
在Red Hat及其衍生版本上安装
nfs-utils包:sudo yum install nfs-utils
挂载文件系统
我们将在具有IP的客户端计算机上工作 192.168.33.110 拥有对 /srv/nfs4/www 文件系统和对 /srv/nfs4/backups 文件系统。
为安装点创建两个新目录。 您可以在所需的任何位置创建此目录。
sudo mkdir -p /backups
sudo mkdir -p /srv/www
使用以下命令挂载导出的文件系统: mount 命令:
sudo mount -t nfs -o vers=4 192.168.33.10:/backups /backups
sudo mount -t nfs -o vers=4 192.168.33.10:/www /srv/www
哪里 192.168.33.10 是NFS服务器的IP。 您也可以使用主机名代替IP地址,但是客户端计算机需要解析该主机名。 通常通过将主机名映射到IP地址中的IP /etc/hosts 文件。
挂载NFSv4文件系统时,需要省略NFS根目录,因此, /srv/nfs4/backups 你需要使用 /backups。
验证使用挂载或远程文件系统是否成功挂载 df命令:
df -h
该命令将打印所有已挂载的文件系统。 最后两行是已安装的共享:
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00 38G 1.7G 36G 5% /
devtmpfs 236M 0 236M 0% /dev
tmpfs 244M 0 244M 0% /dev/shm
tmpfs 244M 4.5M 240M 2% /run
tmpfs 244M 0 244M 0% /sys/fs/cgroup
/dev/sda2 1014M 87M 928M 9% /boot
tmpfs 49M 0 49M 0% /run/user/1000
192.168.33.10:/backups 9.7G 1.2G 8.5G 13% /backups
192.168.33.10:/www 9.7G 1.2G 8.5G 13% /srv/www
要使挂载在重启时永久存在,请打开 /etc/fstab 文件:
sudo nano /etc/fstab
并添加以下行:
/ etc / fstab
192.168.33.10:/backups /backups nfs defaults,timeo=900,retrans=5,_netdev 0 0
192.168.33.10:/www /srv/www nfs defaults,timeo=900,retrans=5,_netdev 0 0
要查找有关挂载NFS文件系统时可用选项的更多信息,请键入 man nfs 在您的终端中。
挂载远程文件系统的另一种选择是使用 autofs 工具或创建系统单元。
测试NFS访问
让我们通过为每个共享创建一个新文件来测试对共享的访问。
首先,尝试创建一个测试文件 /backups 目录使用 touch 命令:
sudo touch /backups/test.txt
的 /backup 文件系统导出为只读,并且按预期,您将看到一个 Permission denied 错误信息:
输出:
touch: cannot touch ‘/backups/test’: Permission denied
接下来,尝试创建一个测试文件到 /srv/www 根目录使用 sudo 命令:
sudo touch /srv/www/test.txt
同样,您会看到 Permission denied 信息。
输出:
touch: cannot touch ‘/srv/www’: Permission denied
的 /var/www 目录由 apache 用户,并且此共享有 root_squash选项集,它将根用户映射到 nobody 用户和 nogroup 没有对远程共享的写权限的组。
假设一个用户 apache 在客户端计算机上存在相同的 UID 和 GID 就像在远程服务器上一样(例如,如果您在两台计算机上都安装了apache,情况就是如此),您可以测试以用户身份创建文件 apache 与:
sudo -u apache touch /srv/www/test.txt
该命令将不显示任何输出,表示文件已成功创建。
要验证它是否列出了 /srv/www 目录:
ls -la /srv/www
输出应显示新创建的文件:
输出:
drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .
drwxr-xr-x 3 root root 4096 Jun 23 22:29 ..
-rw-r--r-- 1 apache apache 0 Jun 23 21:58 index.html
-rw-r--r-- 1 apache apache 0 Jun 23 22:18 test.txt
卸载NFS文件系统
如果不再需要远程NFS共享,则可以使用umount命令将其卸载为任何其他已安装的文件系统。 例如,要卸载 /backup 分享您将要运行的内容:
sudo umount /backups
如果安装点在 /etc/fstab 文件,请确保删除该行或通过添加注释掉它 # 在该行的开头。
结论
在本教程中,我们向您展示了如何设置NFS服务器以及如何在客户端计算机上安装远程文件系统。 如果您要在生产中实现NFS并共享敏感数据,则启用kerberos身份验证是一个好主意。
作为NSF的替代方法,您可以使用SSHFS通过SSH连接安装远程目录。 SSHFS默认情况下是加密的,并且更易于配置和使用。
如有任何疑问,请随时发表评论。