首页主机资讯centos挂载安全设置

centos挂载安全设置

时间2026-01-21 00:03:03发布访客分类主机资讯浏览368
导读:CentOS 挂载安全设置 一 通用安全原则 使用UUID而非设备名(如 /dev/sdX)来标识块设备,避免因设备顺序变化导致挂载错误或启动失败。可通过blkid或lsblk查看 UUID。 在 /etc/fstab 中为非关键挂载项添...

CentOS 挂载安全设置

一 通用安全原则

  • 使用UUID而非设备名(如 /dev/sdX)来标识块设备,避免因设备顺序变化导致挂载错误或启动失败。可通过blkidlsblk查看 UUID。
  • /etc/fstab 中为非关键挂载项添加nofail,使挂载失败不致阻塞系统启动;同时建议对网络/外置存储启用soft超时与重试,减少阻塞。
  • 依据场景设置挂载选项以降险:本地数据盘优先使用noatime(减少元数据写入)、必要时用nodev/nosuid/noexec;对不可信来源或共享目录优先采用只读或最小权限。
  • 严格权限与所有权:挂载点目录属主与权限应最小化,仅授予必要用户/组访问;对外共享目录结合业务设置只读root_squash等映射策略。
  • 变更前先本地验证:执行mount -a -v检查语法与依赖;对生产环境先在维护窗口操作,并准备回滚方案。

二 块设备与本地文件系统

  • 获取设备标识并选择挂载点:
    • 查看:blkid /dev/sdXlsblk -f
    • 建议挂载点:如 /data、/var/lib/xxx 等,避免随意使用/home 或根分区
  • 推荐 fstab 条目示例(按实际替换 UUID 与挂载点):
    • UUID=xxxx-xxxx /data xfs defaults,nofail,noatime 0 2
    • 说明:使用UUIDnofail提升可靠性;本地盘可用noatime降低写放大;备份/检查列按需要调整(本地数据盘常用 0 2)
  • 验证与回滚:
    • 验证:mount -a -v;查看:df -h
    • 回滚:若异常,注释问题行或临时改用只读模式(ro)恢复服务后再修正

三 NFS 挂载安全

  • 服务端加固要点(/etc/exports):
    • 仅对受控网段导出:如 /srv/nfs 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)
    • 禁止no_root_squash;必要时用anonuid/anongid映射为最小权限的系统用户;对不可信环境可加nosuid,noexec
  • 传输与端口:优先TCPsync;为 rpc.mountd/rpcbind 等分配固定端口并在防火墙放行,便于白名单控制。
  • 客户端挂载示例:
    • mount -t nfs -o soft,intr,vers=4.2,sync 192.168.1.10:/srv/nfs /mnt/nfs
    • 说明:soft在超时后返回错误避免永久阻塞;intr允许中断卡住的请求;按服务器支持选择 vers(优先 4.x)。
  • 最小权限原则:共享给应用的最小读/写权限;对临时或不可信客户端优先只读;结合网络 ACL/安全组仅放通必要来源。

四 CIFS/SMB 挂载安全

  • 安装工具并准备凭据:
    • 安装:yum install -y cifs-utils
    • 凭据文件(仅 root 可读):/etc/smbcredentials
      • username=your_user
      • password=your_pass(含特殊字符如逗号也无需转义)
    • 权限:chmod 600 /etc/smbcredentials
  • 手动与自动挂载示例:
    • 手动:mount -t cifs -o credentials=/etc/smbcredentials,vers=3.0,iocharset=utf8 //nas.example.com/share /mnt/cifs
    • fstab://nas.example.com/share /mnt/cifs cifs credentials=/etc/smbcredentials,vers=3.0,iocharset=utf8,file_mode=0640,dir_mode=0750 0 0
    • 说明:凭据文件避免口令暴露在命令行与 fstab;vers=3.0为常用安全版本;按需要设置file_mode/dir_mode收紧权限。

五 故障防护与应急

  • 避免 fstab 错误导致无法开机:
    • 非关键项加nofail;变更前本地执行mount -a验证;对网络挂载使用soft,intr减少阻塞。
  • 无法进入系统时的应急(云环境示例):
    • 通过控制台查看系统日志(如 EC2 的 Get System Log)定位挂载失败项;
    • 将根卷卸载并挂载到救援实例,修正 /etc/fstab(注释/调整问题行),再挂载回原实例启动。
  • 卸载被占用的挂载点:
    • 查找占用进程:fuser -cu /mnt/pointlsof /mnt/point;必要时 fuser -ck /mnt/point 结束进程后再 umount;极端可用 umount -l(lazy)解除占用。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: centos挂载安全设置
本文地址: https://pptw.com/jishu/787833.html
centos挂载步骤详解 CentOS挂载远程存储的技巧有哪些

游客 回复需填写必要信息