Cómo instalar y configurar un servidor NFS en CentOS 8

Network File System (NFS) es un protocolo de sistema de archivos distribuido que le permite compartir directorios remotos a través de una red. Con NFS, puede montar directorios remotos en su sistema y trabajar con los archivos en la máquina remota como si fueran archivos locales.

El protocolo NFS no está cifrado de forma predeterminada y, a diferencia de Samba, no proporciona autenticación de usuario. El acceso al servidor está restringido por las direcciones IP o los nombres de host de los clientes.

En este tutorial, seguirá los pasos necesarios para configurar un servidor NFSv4 en CentOS 8. También le mostraremos cómo montar un sistema de archivos NFS en el cliente.

Requisitos previos #

Suponemos que tiene un servidor que ejecuta CentOS 8 en el que configuraremos el servidor NFS y otras máquinas que actuarán como clientes NFS. El servidor y los clientes deben poder comunicarse entre sí a través de una red privada. Si su proveedor de alojamiento no ofrece direcciones IP privadas, puede usar las direcciones IP públicas y configurar el firewall del servidor para permitir el tráfico en el puerto 2049 solo de fuentes confiables.

Las máquinas de este ejemplo tienen las siguientes direcciones IP:

NFS Server IP: 192.168.33.148
NFS Clients IPs: From the 192.168.33.0/24 range

Configurar el servidor NFS #

Esta sección explica cómo instalar los paquetes necesarios, crear y exportar los directorios NFS y configurar el firewall.

Instalando el servidor NFS #

El paquete “nfs-utils” proporciona las utilidades y demonios NFS para el servidor NFS. Para instalarlo ejecuta el siguiente comando:

sudo dnf install nfs-utils

Una vez completada la instalación, habilite e inicie el servicio NFS escribiendo:

sudo systemctl enable --now nfs-server

De manera predeterminada, en CentOS 8 NFS, las versiones 3 y 4.x están habilitadas, la versión 2 está deshabilitada. NFSv2 es bastante antiguo ahora y no hay razón para habilitarlo. Para verificarlo ejecuta el siguiente cat comando:

sudo cat /proc/fs/nfsd/versions

-2 +3 +4 +4.1 +4.2

Las opciones de configuración del servidor NFS se establecen en /etc/nfsmount.conf y /etc/nfs.conf archivos La configuración predeterminada es suficiente para nuestro tutorial.

Creando los sistemas de archivos #

Al configurar un servidor NFSv4, es una buena práctica usar un directorio raíz NFS global y montar en enlace los directorios reales en el punto de montaje compartido. En este ejemplo, usaremos el /srv/nfs4 directorio como raíz NFS.

Para explicar mejor cómo se pueden configurar los montajes NFS, vamos a compartir dos directorios (/var/www y /opt/backups ) con diferentes ajustes de configuración.

El /var/www/ es propiedad del usuario y grupo apache y /opt/backups es propiedad de root .

Cree el sistema de archivos de exportación utilizando mkdir comando:

sudo mkdir -p /srv/nfs4/{backups,www}

Monte los directorios reales:

sudo mount --bind /opt/backups /srv/nfs4/backupssudo mount --bind /var/www /srv/nfs4/www

Para hacer que los montajes de enlace sean permanentes, agregue las siguientes entradas a /etc/fstab archivo:

sudo nano /etc/fstab

/etc/fstab

/opt/backups /srv/nfs4/backups  none   bind   0   0
/var/www     /srv/nfs4/www      none   bind   0   0

Exportando los sistemas de archivos #

El siguiente paso es definir los sistemas de archivos que exportará el servidor NFS, las opciones de recursos compartidos y los clientes que pueden acceder a esos sistemas de archivos. Para hacerlo, abra el /etc/exports archivo:

sudo nano /etc/exports

Exportar el www y backups directorios y permitir el acceso solo desde clientes en el 192.168.33.0/24 red:

/etc/exports

/srv/nfs4         192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www     192.168.33.110(rw,sync,no_subtree_check)

La primera línea contiene fsid=0 que define el directorio raíz de NFS /srv/nfs4 . El acceso a este volumen NFS solo está permitido a los clientes del 192.168.33.0/24 subred. El crossmnt Se requiere la opción para compartir directorios que son subdirectorios de un directorio exportado.

La segunda línea muestra cómo especificar varias reglas de exportación para un sistema de archivos. Exporta el /srv/nfs4/backups directorio y solo permite acceso de lectura a todo el 192.168.33.0/24 y acceso de lectura y escritura a 192.168.33.3 . La sync opción le dice a NFS que escriba los cambios en el disco antes de responder.

La última línea debe explicarse por sí misma. Para obtener más información sobre todas las opciones disponibles, escriba man exports en tu terminal.

Guarde el archivo y exporte los recursos compartidos:

sudo exportfs -ra

Debe ejecutar el comando anterior cada vez que modifique /etc/exports expediente. Si hay errores o advertencias, se mostrarán en el terminal.

Para ver las exportaciones activas actuales y su estado, use:

sudo exportfs -v

La salida incluirá todas las acciones con sus opciones. Como puede ver, también hay opciones que no hemos definido en el /etc/exports expediente. Esas son las opciones predeterminadas, y si desea cambiarlas, deberá configurar esas opciones explícitamente.

/srv/nfs4/backups
		192.168.33.3(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 	192.168.33.110(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4     	192.168.33.0/24(sync,wdelay,hide,crossmnt,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups
		192.168.33.0/24(sync,wdelay,hide,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)

root_squash es una de las opciones más importantes con respecto a la seguridad NFS. Evita que los usuarios raíz conectados desde los clientes tengan privilegios de raíz en los recursos compartidos montados. Asignará raíz UID y GID a nobody /nogroup UID /GID .

Para que los usuarios de las máquinas cliente tengan acceso, NFS espera que los ID de usuario y de grupo del cliente coincidan con los del servidor. Otra opción es utilizar la función de mapeo de ID de NFSv4 que traduce los ID de usuarios y grupos a nombres y viceversa.

Eso es todo. En este punto, ha configurado un servidor NFS en su servidor CentOS. Ahora puede pasar al siguiente paso y configurar los clientes y conectarse al servidor NFS.

Configuración del cortafuegos #

FirewallD es la solución de firewall predeterminada en Centos 8.

El servicio NFS incluye reglas predefinidas para permitir el acceso al servidor NFS.

Los siguientes comandos permitirán permanentemente el acceso desde el 192.168.33.0/24 subred:

sudo firewall-cmd --new-zone=nfs --permanentsudo firewall-cmd --zone=nfs --add-service=nfs --permanentsudo firewall-cmd --zone=nfs --add-source=192.168.33.0/24 --permanentsudo firewall-cmd --reload

Configurar los clientes NFS #

Ahora que el servidor NFS está configurado y los recursos compartidos exportados, el siguiente paso es configurar los clientes y montar los sistemas de archivos remotos.

También puede montar el recurso compartido NFS en máquinas macOS y Windows, pero nos centraremos en los sistemas Linux.

Instalando el cliente NFS #

En las máquinas del cliente, instale las herramientas necesarias para montar sistemas de archivos NFS remotos.

• Instalar cliente NFS en Debian y Ubuntu

  El nombre del paquete que incluye programas para montar sistemas de archivos NFS en distribuciones basadas en Debian es nfs-common . Para instalarlo ejecuta:

  sudo apt updatesudo apt install nfs-common

• Instalar cliente NFS en CentOS y Fedora

  En Red Hat y sus derivados, instale nfs-utils paquete:

  sudo yum install nfs-utils

Montar sistemas de archivos #

Trabajaremos en la máquina cliente con IP 192.168.33.110 , que tiene acceso de lectura y escritura al /srv/nfs4/www sistema de archivos y acceso de solo lectura a /srv/nfs4/backups sistema de archivos.

Cree dos nuevos directorios para los puntos de montaje. Puede crear estos directorios en cualquier ubicación que desee.

sudo mkdir -p /backupssudo mkdir -p /srv/www

Monte los sistemas de archivos exportados con mount comando:

sudo mount -t nfs -o vers=4 192.168.33.148:/backups /backupssudo mount -t nfs -o vers=4 192.168.33.148:/www /srv/www

Donde 192.168.33.148 es la IP del servidor NFS. También puede usar el nombre de host en lugar de la dirección IP, pero la máquina cliente debe poder resolverlo. Esto generalmente se hace asignando el nombre de host a la IP en el /etc/hosts archivo.

Al montar un sistema de archivos NFSv4, debe omitir el directorio raíz de NFS, por lo que en lugar de /srv/nfs4/backups necesitas usar /backups .

Verifique que los sistemas de archivos remotos se hayan montado correctamente mediante el comando mount o df comando:

df -h

El comando imprimirá todos los sistemas de archivos montados. Las dos últimas líneas son los recursos compartidos montados:

...
192.168.33.148:/backups           9.7G  1.2G  8.5G  13% /backups
192.168.33.148:/www               9.7G  1.2G  8.5G  13% /srv/www

Para hacer que los montajes sean permanentes al reiniciar, abra el /etc/fstab archivo:

sudo nano /etc/fstab

y agregue las siguientes líneas:

/etc/fstab

192.168.33.148:/backups /backups   nfs   defaults,timeo=900,retrans=5,_netdev	0 0
192.168.33.148:/www /srv/www       nfs   defaults,timeo=900,retrans=5,_netdev	0 0

Para encontrar más información sobre las opciones disponibles al montar un sistema de archivos NFS, escriba man nfs en tu terminal.

Otra opción para montar los sistemas de archivos remotos es usar el autofs herramienta o para crear una unidad systemd.

Probando acceso NFS #

Probemos el acceso a los recursos compartidos creando un nuevo archivo en cada uno de ellos.

Primero, intente crear un archivo de prueba para /backups directorio usando el touch comando:

sudo touch /backups/test.txt

El /backup el sistema de archivos se exporta como de solo lectura y, como era de esperar, verá un Permission denied mensaje de error:

touch: cannot touch ‘/backups/test’: Permission denied

A continuación, intente crear un archivo de prueba para /srv/www directorio como raíz usando sudo comando:

sudo touch /srv/www/test.txt

De nuevo, verá Permission denied mensaje.

touch: cannot touch ‘/srv/www’: Permission denied

El /var/www el directorio es propiedad de apache usuario, y este recurso compartido tiene root_squash conjunto de opciones, que asigna el usuario raíz a nobody usuario y nogroup grupo que no tiene permisos de escritura para el recurso compartido remoto.

Suponiendo que un usuario apache existe en la máquina cliente con el mismo UID y GID como en el servidor remoto (que debería ser el caso si, por ejemplo, instaló apache en ambas máquinas), puede probar para crear un archivo como usuario apache con:

sudo -u apache touch /srv/www/test.txt

El comando no mostrará ningún resultado, lo que significa que el archivo se creó correctamente.

Para verificarlo, enumere los archivos en el /srv/www directorio:

ls -la /srv/www

La salida debería mostrar el archivo recién creado:

drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .
drwxr-xr-x 3 root     root     4096 Jun 23 22:29 ..
-rw-r--r-- 1 apache apache    0 Jun 23 21:58 index.html
-rw-r--r-- 1 apache apache    0 Jun 23 22:18 test.txt

Desmontar sistema de archivos NFS #

Si ya no necesita el recurso compartido NFS remoto, puede desmontarlo como cualquier otro sistema de archivos montado mediante el comando umount. Por ejemplo, para desmontar el /backup comparte que ejecutarías:

sudo umount /backups

Si el punto de montaje está definido en /etc/fstab archivo, asegúrese de eliminar la línea o comentarla agregando # al principio de la línea.