yas@is.tsukuba.ac.jp (Yasushi Shinjo) writes:

> 実は、殺さなくてもいいという話もありまして、、、、
> 
> > (問題はどうやって本物のnfsdを殺すか,かな…
> > 詳しい人に聞いたところ,「別のポートをnfsdをportmapperに登録し直す」こ
> > とはスーパーユーザでないとできないそうです.)
> 
> 一応、それはそうなんだけど、・・・(以下省略。)

良く分かりませんが,想像するに,やっぱり「一般ユーザがログインできるマ
シンで,NFSでファイル共有してはいけない」ということかな.

> NFS に限らず、RPC でもポート番号を固定した方が、パケット・フィ
> ルタで防御するのが簡単になるんだけどなあ。それでもなんとかし
> たいという場合には、RPC 対応の SysGuard とか。
> 
>     新城 靖, 中田 吉法, 板野 肯三: "システム・コール・レベルでの
>     RPCに対するアクセス制御の強化",情報処理学会研究会報告
>     2001-OS-90-13, pp.95-102 (2002年6月27日).
>     http://www.ipsj.or.jp/members/SIGNotes/Jpn/07/2002/090/article013.html

Secure NFS via SSH tunnelなんてのもあるようです.
http://www.math.ualberta.ca/imaging/snfs/
元の質問者の方の用途には,これが適しているかも.

"Nakane Hidenobu" <hide_n@catvmics.ne.jp> writes:

> この質問をしたのは、NFSサービスをどうしても(システム上)
> F/Wごしに公開したいというユーザがいたのが発端です。
> そものそもF/WごしにNFSをこう開始するのはどうかと思いますが

おっしゃる通り,いろいろと問題があると思います.

> ISS社の Internet Scannerで検査した結果 NFSのを特権ポートで
> 動かせと指摘されました。

この前提で,どのようにセキュリティ向上に貢献するのか良く分からないです
が… ポートを固定せよということかな?

もし上のSNFSが使えるなら,そっちの方がベターだと思います.

                                        前田敦司