1,服务器端软件:安装nfs-utils和rpcbind
nfs-utils: 提供rpc.nfsd 及 rpc.mountd这两个NFS DAEMONS的套件 
rpcbind: NFS其实可以被看作是一个RPC SERVER PROGRAM,而要启动一个RPC SERVER PROGRAM,都要做好客户端IP及其PORT的对应工作,而且这样的任务就是由rpcbind来完成的。 
NFS需要启动的DAEMONS:参考NFS daemons 

  • pc.nfsd:主要复杂登陆权限检测等 必须

  • rpcbind:处理RPC程序客户端和服务器端的端口对应 必须

  • rpc.mountd:负责NFS的档案系统,当CLIENT端通过rpc.nfsd登陆SERVER后,对clinet存取server的文件进行一系列的管理 必须

  • lockd:处理通过RPC包的锁定请求

  • statd:为nfs锁定服务提供crash恢复功能

  • rquotad:处理当用户通过nfsmount到远程服务器时的配额

  • 守护进程启动顺序:rpc.portmap, rpc.mountd, rpc.nfsd, rpc.statd, rpc.lockd (新版本会自动跟着nfsd启动起来), rpc.rquotad

  • NFS服务器端命令:

  • 1. 安装 yum -y install nfs-utils rpcbind

  • 2. 查看 rpm -qa | grep nfs-utils     rpm -qa | grep rpcbind

  • 3. 添加用户 useradd a+w /var/web

  • 4. 创建共享目录 mkdir /var/{web,cloud}

  • 5. 配置文件 cat  /etc/exports

  •    共享路径 客户端主机1(选项) 客户端主机2(选项)......#客户端主机1可以使网段、主机、主机名

  • 6. 重启服务及开机自动启动

  •    /etc/init.d/rpcbind restart     chkconfig rpcbind on

  •   /etc/init.d/nfs restart      chkconfig nfs on

  • 注释:配置文件

  • #:允许ip地址范围在192.168.0.*的计算机以读写的权限来访问/home/work 目录。  

  • /home/work 192.168.0.*(rw,sync,root_squash)  

  • /home  192.168.1.105 (rw,sync)  

  • /public  * (rw,sync)  

  •   

  • 配置文件每行分为两段:第一段为共享的目录,使用绝对路径,第二段为客户端地址及权限。  

  • 地址可以使用完整IP或网段,例如10.0.0.8或10.0.0.0/24,10.0.0.0/255.255.255.0当然也可以地址可以使用主机名,DNS解析的和本地/etc/hosts解析的都行,支持通配符,例如:*.chengyongxu.com  

  •   

  • 权限有:  

  • rw:read-write,可读写;    注意,仅仅这里设置成读写客户端还是不能正常写入,还要正确地设置共享目录的权限,参考问题7  

  • ro:read-only,只读;  

  • sync:文件同时写入硬盘和内存;  

  • async:文件暂存于内存,而不是直接写入内存;  

  • no_root_squash:NFS客户端连接服务端时如果使用的是root的话,那么对服务端分享的目录来说,也拥有root权限。显然开启这项是不安全的。  

  • root_squash:NFS客户端连接服务端时如果使用的是root的话,那么对服务端分享的目录来说,拥有匿名用户权限,通常他将使用nobody或nfsnobody身份;  

  • all_squash:不论NFS客户端连接服务端时使用什么用户,对服务端分享的目录来说都是拥有匿名用户权限;  

  • anonuid:匿名用户的UID值,通常是nobody或nfsnobody,可以在此处自行设定;  

  • anongid:匿名用户的GID值。

  • NFS客户端用户映射:客户端登陆用户为root或者其他用户,然后根据服务器端nfs server配置,相应客户端连接映射到nfs服务器端的用户为root或者指定用户(通过anonuid或者anongid来设定)、nfsnobody等。最后这个映射用户和共享目录的权限共同影响该客户端连接是否有读写权限。 
    手动设定客户端、服务器端用户映射,参数:map_static=/etc/nfs.map 
    /etc/nfs.map文件映射内容如下: 
    # remote local 
    gid 500 1000 
    uid 500 2003 
    参考:NFS 学习笔记中关于nfs客户连接用户身份的描述,没有验证过下述的描述: 

  • 客户端连接时候,对普通用户的检查,NO.1如果明确设定了普通用户被压缩的身份,那么此时客户端用户的身份转换为指定用户,NO.2如果NFS server上面有同名用户,那么此时客户端登录账户的身份转换为NFS server上面的同名用户,NO.3如果没有明确指定,也没有同名用户,那么此时 用户身份被压缩成nfsnobody

  • 客户端连接的时候,对root的检查,NO.1如果设置no_root_squash,那么此时root用户的身份被压缩为NFS server上面的root,NO.2如果设置了all_squash、anonuid、anongid,此时root 身份被压缩为指定用户,NO.3如果没有明确指定,此时root用户被压缩为nfsnobody,NO.4如果同时指定no_root_squash与all_squash 用户将被压缩为 nfsnobody,如果设置了anonuid、anongid将被压缩到所指定的用户与组

  • 3,防火墙设置修改 
    默认情况下,CentOS6服务器版安装完成后,防火墙iptables配置中只放开了22端口。 
    nfs配置文件/etc/sysconfig/nfs中指定nfs服务相关端口,并修改防火墙放开相应端口 

    修改iptables配置文件/etc/sysconfig/iptables,放开111(portmap服务端口),2049(nfs服务端口) 

  • #Port rpc.mountd should listen on.    

  • #MOUNTD_PORT=892    

  •     

  • #Port rpc.statd should listen on.    

  • #STATD_PORT=662    

  •     

  • #/usr/sbin/rpc.rquotad Port rquotad should listen on.    

  • #RQUOTAD_PORT=875    

  •     

  • #TCP port rpc.lockd should listen on.    

  • #LOCKD_TCPPORT=32803    

  •     

  • #UDP port rpc.lockd should listen on.    

  • #LOCKD_UDPPORT=32769     

  • 修改iptables配置文件/etc/sysconfig/iptables,放开111(portmap服务端口),2049(nfs服务端口) 

  • 4./etc/hosts.allow配置修改 
    /etc/hosts.allow,/etc/hosts.deny 描述哪些主机允许使用本地的INET服务。 
    默认这里好像可以不需要修改,不过最好设置成只允许需要的客户端机器连接,然后其他机器的连接都deny 
    #服务进程名:主机列表:当规则匹配时可选的命令操作 
    server_name:hosts-list[:command] 
    在/etc/hosts.allow中添加允许客户端访问的规则 
    ALL:127.0.0.1         #允许本机访问本机所有服务进程 
    ALL:192.168.0.135     #允许192.168.0.135客户端机器访问本机所有服务进程 
    smbd:192.168.0.0/255.255.255.0    #允许网段的IP访问smbd服务 
    sshd:192.168.100.0/255.255.255.0        #允许192.168.100.网段的IP访问服务器上的sshd进程 
    sshd:60.28.160.244                                  #允许外网的60.28.160.244访问这个服务器上的sshd进程 
    在/etc/hosts.deny中 被禁制登陆的尝试连接信息也可以设置成记录下来并发到用户邮箱 
    sshd:ALL    #禁止所有 

    5,修改共享出去的目录权限为760,并修改目录所有组为nfsnobody 
    参考:问题7 

  • 客户端挂载:执行下面的指令就可以把NFS服务器

  • showmount -e nfs-serverip: 查看nfs服务器共享出来的资源 
    mount -t nfs  nfs-serverip:目录   挂载目录

  • 开机自动挂载:

  • echo \

  • > "nfs-serverip:目录   挂载目录 nfs default 0 0" >> /etc/fstab

问题总结:

1.客户端showmount命令不存在,安装一下nfs和rpcbind

2.客户端若提示如下信息

clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host)

则是NFS-Server防火墙的原因,回到NFS-Server服务器关闭防火墙

在NFS-Server服务器执行

# /etc/init.d/iptables stop

3, 客户端挂载时,报错误mount clntudp_create: RPC: Port mapper failure - RPC: Unable to receive。 

  • 1,通过命令rpcinfo -p来查看portmap服务时候正常启动以及相应的端口(默认111)

  • 2,检查/etc/sysconfig/iptables防火墙设置,允许tcp,udp的111端口访问,然后service iptables restart

  • 3,检查/etc/hosts.deny,/etc/hosts.allow看客户端连接是否被阻止了


4, 客户端执行命令showmount -e nfs-server时,报错误:mount clntudp_create: RPC: Program not registered。 
nfs、rpcbind服务没有启动,使用chkconfig把nfs、rpcbind加到系统服务中并用service来启动 
或者在/etc/hosts.allow中添加允许客户端访问的规则 ALL:192.168.0.135 
配置文件:/etc/sysconfig/nfs 
找到nfs服务相关端口设置的地方,并移除注释后,在iptables防火墙设置中指定允许相应端口的Udp,tcp流通过。
#MOUNTD_PORT=892 
#STATD_PORT=662 
#LOCKD_TCPPORT=32803 
#LOCKD_UDPPORT=32769 
iptables -A INPUT -p TCP --dport 662 -m state --state NEW -j ACCEPT 
iptables -A INPUT -p UDP --dport 661 -m state --state NEW -j ACCEPT 

5, showmount -e nfs-server成功,正式挂载时报错:mount: mount to NFS server '192.168.1.5' failed: System Error: No route to host.这是由于nfs服务的默认端口2049被防火墙阻塞了,和上面类似修改iptables允许2049端口通过 

6, showmount -e nfs-server成功,正式挂载时报错:mount: mount to NFS server '192.168.1.5' failed: timed out (retrying). 
编辑/etc/sysconfig/iptables时,相关端口的tcp端口允许通过,而udp不允许。其他可能的原因参考:mount command fails with NFS server failed error. 
Disable name lookup requests from NFS server to a DNS server.  
or  NFS version used by the NFS client is other than version 3. 

7,exports配置文件中目录权限属性设置为rw(默认为root_squash),但是在客户端mount目录执行touch命令时报错误:touch: cannot touch `a': Permission denied。解决: 

  • 服务器端共享目录权限查看ll -d /home

  • 修改服务器端共享目录权限chown 760 /home(文件所有者root有全权限、文件所有组用户有读写权限、其他用户无权限,然后把目录的组设置为nfsnobody)

  • 修改服务器端共享目录权限组拥有者为nfsnobody(cat /etc/passwd | grep nob)

  • chgrp nfsnobody /home

  • 成功在客户端创建新的文件!