NFS服务器

NFS(网络文件系统)是Unix系统使用地标准文件共享协议。NFS允许一个系统在网络上导出一个目录到一个或多个其它主机，允许在那些主机上的用户和程序访问导出的文件，就像它们在本地。

一个NFS服务器是一个导出了一个或多个目录的系统，而NFS客户端是一个挂载了来自一台服务器的一个或多个目录的系统。一台主机可以同时是一台NFS服务器和一台其它服务器的NFS客户端。

一台服务器通过为被请求目录比对客户端IP地址和一个可用主机列表控制哪些客户端可以挂载被导出的目录。这台服务器也可以指定一个导出只读，或者对某些客户端只读。

不同于其它网络文件系统，一个NFS客户端在挂载一个被导出目录时，不是必须登录到服务器。当访问被导出文件时，服务器信任客户端验证用户并且提供当前用户的ID。因而，你应该只允许你信任的客户端挂载被导出目录。

这个模块允许你通过你系统上NFS配置共享的目录(在Linux中被称exports)。首页显示一个目录以及它们被导出到的客户列表，允许你点击客户端来编辑其选项或者启动导出一个新目录。

在首页共享列表之下是一个按钮，它将使得当前配置生效。通过停止和启动正在运行的NFS服务进程，做这件事。

如果某个目录和其子目录之一被导出，用于最特定目录的选项将应用到客户端。例如，如果/usr和/usr/local都被导出，一个访问/usr/local/bin的客户端将受到用于/usr/local导出的选项影响。

前提

• 必须安装了NFS服务器
• 防火墙必须允许nfs, rpc-bind和mounted

# CentOS 7
yum install nfs-utils 
yum install rpcbind

NFS Exports模块

NFS是在网络上Unix系统之间用于共享文件的最常见协议。NFS服务器从它们的本地硬盘导出目录到NFS客户端，客户端挂载它们，使得它们可以像任何其它目录被访问。不同于诸如Windows网络，Netware和AppShare的其它文件共享协议，NFS被设置为支持有多个用户的客户端系统。这表示一个客户端从不登录到一台服务器，并且服务器完全信任客户端来验证用户。NFS的缺点不是一个用于与不完全受信的客户端共享文件的好协议。 

不是使用用户名和密码用于验证，NFS使用客户端IP地址。仅受限客户端被允许挂载来自服务器的目录，因此它对来自网络上客户端未授权的访问不是脆弱的。通过限制一个客户端上特性Unix用户的访问权或者把来自一个客户端的请求当成一个用户，能够增加一些额外安全。

在Linux上，/etc/exports文件包含了一个由NFS导出的永久目录列表以及这些目录被导入的客户端。这个文件在启动时由nfsd和mounted程序读取，这些程序在后台运行来服务NFS请求。当你使用Webmin更改或创建exports时，exports文件直接被更新。

在Linux上，使用NFS exports模块进行NFS服务器配置。在进入这个模块后，主页将显示一个被导出目录以及被允许访问它们的客户端列表，如下所示：

大部分Linux发行版携带默认安装了用于NFS文件共享的程序。但如果Webmin从你的系统检测到了它们缺失，当你进入这个模块时，将显示一条错误消息。如果那发生了，你将需要安装nfs-server或nfs包。

内容

一、导出目录 

仅本地文件系统上地目录可以通过NFS被导出，因此重新导出以被从另一台NFS服务器挂载的文件是不可能的。从非Unix文件系统，如vfat，ntfs或iso-9660导出目录也是不可能的。如果被导出目录在它下有一个挂载点，在那些挂载点下的文件将对NFS客户端不可访问。所以如果你导出root目录/并且在/home挂载了一个独立的文件系统，你也需要导出/home并且客户端为了看见它之下的文件需要挂载它。

1.1 导出细节

 Directory to export：不是挂载很多不同导出，一个NFSv4客户端把NFSv4服务器的导出看作存在于单个文件系统内。因此，对于NFSv4，这个目录首先被挂载在NFSv4伪文件系统，伪文件系统被导出，接着目录。最好导出这个目录而不隐藏它，因此客户端将能够进入它而不要挂载它。

不同于其它NFS服务器，Linux支持再次导出一个这样的目录，它是从另一台主机NFS挂载的，以及导出一个包含其它文件系统挂载点的目录。

要导出的NFSv4伪文件系统

NFSv4 Pseudofileystem to export：仅NFS 通常/export目录将用于挂载导出的nfs目录。当在一个伪文件系统内创建一个nfsv4 导出时，将在/etc/fstab中创建一个对应的条目。

Active：除非你想要这个导出不可用，否则确认这个选项设成Yes。

Export to：选择哪些客户端将访问这个目录。可能的选项是：

• Everyone：一个在网络上能够连接你的系统将能够挂载这个目录。对这个选项小心，由于它允许Internet上任何人访问你的文件。
• Host(s)：只允许指定的主机或IP地址。你也可以输入一个通配符主机，像*.foo.com用于允许来自一个域的所有主机的选项。但如果你想要导出一个目录到若干客户端主机，则唯一方法是创建相同目录的多个导出，每个导出在这个字段中有一个不同的主机名。
• NIS Netgroup：一个netgroup是一个主机列表，在一台NIS服务器上定义它们。为此有用，你的系统必须是一个NIS客户端。
• IPv4 Network：在指定网络上所有主机将被允许连接。要允许IP地址范围从192.168.1.0到192.168.1.255的所有主机，在network中输入192.168.1.0，在netmask中输入255.255.255.0。
• IPv6 Network：允许在指定子网内任何主机。

Security levels：仅NFSv4 这个字段决定要求使用哪种安全等级。多个等级可被选折，并且首先尝试首选等级。

1.2 Export security

1）Read-only：如果你想防止客户端在被导出目录中修改或者创建文件，设为Yes。

2） Trust remote users：如果只导出到受信系统，*Everyone*。默认，不要相信其它系统的root账户。

3） Treat untrusted users as：这个选项决定不受信任的客户端用户被当作哪个本地用户。你可以输入一个UID或者选择一个用户，或者选择默认值。exportfs选项：anonuid default:-2或nobody。

4）Treat untrusted groups as：这个选项决定不受信任的客户端组被当作哪个本地组。你可以输入一个GID或者选择一个组，或者选择默认值。exportfs选项：anongid default: -2或者nobody。

5）disable subtree checking：这个选项禁用子树检查，它有轻微的安全影响，但可以在某些环境中提高可靠性。

6）Immediate sync all writes：当启用这个选项时，在向客户端报告成功前，将写由此客户端写的所有NFS到磁盘。这更慢，但确保数据完整性。当禁用这个选项时，可能缓存NFS客户端的写等待后来。exportfs选项：sync, asyncdefult:enabled。

7） Make symbolic links relative：这是一个NFSv2-specific选项。转换客户端看到的绝对符号链接未相对链接。例如，如果导出了目录/usr。一个从/usr/local/bin到/usr/X11R6/bin的链接将被转换成../X11R6/bin。这对客户端正在挂载/usr之外的某个目录时，有很大意义。

8) Client must be on secure port：如果选择这个选项，NFS客户端必须使用小于1024的UDP或TCP端口。这个选项未Unix客户端提供了更多安全性，但可能干扰某些NFS实现。exportfs选项：secure, insecure。

9) Deny access to directory：这是一个NFSv2-specific选项。如果选择这个选项，指定的客户端将不允许访问此目录中任何东西。只在你导出一个父目录，但要拒绝对某些子目录访问时，这个选项才有用。exportfs选项：noaccess。

10) Hide the filesystem：当设置未Yes时，客户端将需要单独挂载在这个下导出的任何文件系统。当设为No时，它将自动地得到挂载。

11) Don't trust UIDs：这是一个NFSv2-specific选项。映射守护ugidd必须运行。除了Trust remote users部分，这个选项允许你指定一个客户端UIDs列表，它们被当作不受信用户。你必须输入一个逗号分隔的UIDs或UID的列表，范围如1，10, 20-25,100-150。exportfs选项：squash_uids，map_daemon。

12) Don't trust GIDs：这是一个NFSv2-specific选项。映射守护ugidd必须运行。不相信UIDs，这个选项允许你指定一个客户端GIDs的列表，它们被当作不受信组。你必须输入一个逗号分隔的GIDs或GID列表，范围如1, 10, 20-25，100-150。exportfs选项：squash_gids, map_daemon。

点击Create按钮来保存这个导出。如果你在任何字段中犯了任何错误，将显示一条解释错误信息。否则，浏览器将返回到exports列表。

[root@telecom ~]# cat /etc/exports
/home/blctrl    (sync,anonuid=1000,no_subtree_check,rw)

 被允许的客户端现在应该能够挂载被导出的系统。如果不能，检查对应来自NFS服务器进程解释客户端为什么被拒绝的消息的系统错误日志。

二 编辑或者删除一个NFS导出

通过以下步骤，在任何时候编辑任何已有NFS导出的所有任何详情：

1） 点击这个模块主页，点击Export to列下你想要编辑的客户端。如果一个目录被多次导出到不同客户端，必须单独地编辑每一个。

2） 在导出编辑表单中，更改任何选项，包括要共享地目录。

3） 如果你想要删除这个导出，点击这页底部Delete按钮。否则，点击Save来保存你的更改。无论何种方式，你的浏览器将返回到这个模块的主页。

4） 点击Applye Changes按钮来使得更改生效。

通过点击这个模块主页上它们的目录，可以编辑或者删除已有的NFS导出。如果你做了任何修改，你必须点击Apply Changes按钮来使得它们生效。

三 导入目录

要'import'一个目录，它已经被另一个系统导出了，你可以使用disk and Network Filesystems。

四 配置