NFS配置
假想环境

10.0.0.1 - NFS Server

10.0.0.2 - NFS Client

1)在NFS Server上:

 # vi /etc/exports
 添加一行：
 /var/nfs 10.0.0.2(rw,async,anonuid=65534,anongid=65534)

 # mkdir -p /var/nfs
 # chown nfsnobody:nfsnobody /var/nfs
 # chown -R nfsnobody:nfsnobody /var/nfs/.
 # service portmap start
 # service nfslock start
 # service nfs start

2)在NFS Client上：

 # service portmap start
 # chown nfsnobody:nfsnobody xxx/xxx/bbs/attachments
 # chmod 777 xxx/xxx/bbs/attachments
 # mount -t nfs -o soft,intr,bg,timeo=50 10.0.0.1:/var/nfs /xxx/xxx/bbs/attachments
 # vi /etc/fstab
 加入一行：
 10.0.0.1:/var/nfs  /xxx/xxx/bbs/attachments  nfs  soft,intr,bg,timeo=50  0 0

 
说明 & 注意
 
exports参数说明

rw: 读写模式；

async: 异步磁盘读写；

anonu(g)id: 指定NFS在进行操作时所使用的匿名用户uid/gid
 
NFS 管理命令

showmount -e 在NFS Server上执行此命令显示NFS Server上所有的共享卷；

showmount -e 10.0.0.1 在NFS Client上执行此命令显示NFS Server上所有共享卷；

export -av 根据/etc/exports导出所有卷；

export -rv 重新导出所有卷，增加/etc/exports中的新项目、删除不存在的项目、更新改变的项目；
 
NFS 相关文件

/etc/exports

是NFS Server最基本的配置文件之一，文件中列出了共享的文件系统和允许访问这些文件系统的主机。

/proc/fs/nfs/exports

导出文件列表的内核视图，包括导出的参数。

/var/lib/nfs/etab

状态文件，其中列出了当前的高级列表。此文件包含了/etc/exports中相同格式的所有项目，同时包含了由exportfs -i手工导入的项目。

/var/lib/nfs/rmtab

状态文件，列出了挂接导出文件的远程客户机清单。

/var/lib/nfs/xtab

状态文件，当前底层导出清单。
 
/etc/exports 中client的书写规则

(1) 单个主机

可以用短名及完全限定名，或者用IP地址，例如student01、student01.flying.com.cn或者192.168.10.1都是合法的主机名。

(2) Net-Group

可以列出/etc/netgroup文件中或NFS网组映射中定义的整组主机。网组名以@开头。

(3) 通配符主机

    * .discuz.net *.*.comsenz.com

(4) 掩码

192.168.1.0/255.255.255.0
 
起停顺序

启动：

portmap

nfslock

nfs

停止：

nfslock

nfs

portmap
 
安全性

portmap: 111 NFS: 2049

防止使用IP欺骗和RPC重定向技术通过lo回环进行攻击以及限定授权主机：

 iptables -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP
 iptables -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP
 iptables -A INPUT -p udp -s 10.0.0.2 --dport 111 -j ACCEPT
 iptables -A INPUT -p udp -s 10.0.0.2 --dport 2049 -j ACCEPT

1、NFS包

NFS需要5个RPM，分别是：
setup-*：　　　　共享NFS目录在/etc/exports中定义
initscripts-*：　包括引导过程中装载网络目录的基本脚本
nfs-utils-*：　　包括基本的NFS命令与监控程序
portmap-*：　　　支持安全NFS RPC服务的连接
quota-*：　　　　网络上共享的目录配额，包括rpc.rquotad （这个包不是必须的）

2、基本监控程序

要顺利运行NFS，至少需要五个Linux服务，它们各有不同的功能，有的负责装载服务，有的保证远程命令指向正确的位置。这些服务通过/etc/rc.d/init.d目录中的nfs,nfslock和portmap脚本启动。下面简单介绍每个监控程序：

(1) 基本NFS
rpc.nfsd是NFS服务器监控程序，它通过/etc/rc.d/init.d目录中的nfs脚本启动。NFS监控程序还启动rpc.mountd装载监控程序，并导出共享目录。

(2) RPC装载
可以用mount命令连接本地目录或网络目录，但还需要一个装载NFS目录的特殊监控程序rpc.mountd

(3) 端口映射器
portmap监控程序只是定向RPC通信数据流，但它对于NFS服务很重要。如果不运行portmap，则NFS客户机无法找到从NFS服务器共享的目录。

(4) 重新启动与statd
当NFS服务需要中断或者重新启动时，rpc.statd监控程序和rpc.lockd在服务器重新启动之后使客户机恢复NFS连接。

(5) 锁定
通过共享NFS目录打开文件时，锁定可以使用户不能覆盖同一个文件。锁定通过nfslock脚本并使用rpc.lockd监控程序启动运行。

3、配置NFS

共享的NFS目录在/etc/exports中列出，这个文件控制对目录的共享。书写规则是：（每个共享规则一行）

共享目录 主机(参数)

例如：/mnt/cdrom *.abc.com(ro,sync) master.abc.com(rw,sync)

上面的规则代表将/mnt/cdrom目录以只读同步方式共享给*.abc.com域，并且以读写同步方式共享给master.abc.com主机。任何共享目录都要指定sync或async，也就是指定文件写入磁盘之前共享NFS目录是否响应命令。

下面是一些NFS共享的常用参数：
ro：只读访问
rw：读写访问
sync：所有数据在请求时写入共享
async：NFS在写入数据前可以相应请求
secure：NFS通过1024以下的安全TCP/IP端口发送
insecure：NFS通过1024以上的端口发送
wdelay：如果多个用户要写入NFS目录，则归组写入（默认）
no_wdelay：如果多个用户要写入NFS目录，则立即写入，当使用async时，无需此设置。
hide：在NFS共享目录中不共享其子目录
no_hide：共享NFS目录的子目录
subtree_check：如果共享/usr/bin之类的子目录时，强制NFS检查父目录的权限（默认）
no_subtree_check：和上面相对，不检查父目录权限
all_squash：共享文件的UID和GID映射匿名用户anonymous，适合公用目录。
no_all_squash：保留共享文件的UID和GID（默认）
root_squash：root用户的所有请求映射成如anonymous用户一样的权限（默认）
no_root_squas：root用户具有根目录的完全管理访问权限
anonuid=xxx：指定NFS服务器/etc/passwd文件中匿名用户的UID
anongid=xxx：指定NFS服务器/etc/passwd文件中匿名用户的GID

4、启动NFS

# service portmap start
# service nfs start

检查NFS的运行级别：
# chkconfig --list portmap
# chkconfig --list nfs

根据需要设置在相应的运行级别自动启动NFS：
# chkconfig --level 235 portmap on
# chkconfig --level 235 nfs on

另外，还需要查看系统的iptables、/etc/hosts.allow、/etc/hosts.deny是否设置了正确的NFS访问规则。

参考：
nfs-howto

 

 

NFS server可以看作是一个FILE SERVER,它可以让你的PC通过网络将远端得NFS SERVER共享出来的档案MOUNT到自己的系统中，在CLIENT看来使用NFS的远端文件就象是在使用本地文件一样。 NFS协议从诞生到现在为止，已经有多个版本，如NFS V2（rfc1094）,NFS V3（rfc1813）（最新的版本是V4（rfc3010）。

　　二、各NFS协议版本的主要区别

　　V3相对V2的主要区别：

　　1、文件尺寸V2最大只支持32BIT的文件大小(4G),而NFS V3新增加了支持64BIT文件大小的技术。

　　2、文件传输尺寸 V3没有限定传输尺寸，V2最多只能设定为8k，可以使用-rsize and -wsize 来进行设定。

　　3、完整的信息返回 V3增加和完善了许多错误和成功信息的返回，对于服务器的设置和管理能带来很大好处。

　　4、增加了对TCP传输协议的支持 V2只提供了对UDP协议的支持，在一些高要求的网络环境中有很大限制，V3增加了对TCP协议的支持

　　*5、异步写入特性
　　6、改进了SERVER的mount性能
　　7、有更好的I/O WRITES 性能。
　　9、更强网络运行效能，使得网络运作更为有效。
　　10、更强的灾难恢复功能。

　　异步写入特性（v3新增加）介绍：
　　
　　NFS V3 能否使用异步写入，这是可选择的一种特性。NFS V3客户端发发送一个异步写入请求到服务器，在给客户端答复之前服务器并不是必须要将数据写入到存储器中（稳定的）。服务器能确定何时去写入数据或者将多个写入请求聚合到一起并加以处理，然后写入。客户端能保持一个数据的copy以防万一服务器不能完整的将数据写入。当客户端希望释放这个copy的时候，它会向服务器通过这个操作过程，以确保每个操作步骤的完整。异步写入能够使服务器去确定最好的同步数据的策略。使数据能尽可能的同步的提交何到达。与V2比较来看，这样的机制能更好的实现数据缓冲和更多的平行（平衡）。而NFS V2的SERVER在将数据写入存储器之前不能再相应任何的写入请求。

　　V4相对V3的改进：

　　1：改进了INTERNET上的存取和执行效能
　　2：在协议中增强了安全方面的特性
　　3：增强的跨平台特性

　　三、CLIENT和SERVER的具体操作和设置

　　在讲NFS SERVER的运作之前先来看一些与NFS SERVER有关的东西：RPC（Remote Procedure Call）

　　NFS本身是没有提供信息传输的协议和功能的，但NFS却能让我们通过网络进行资料的分享，这是因为NFS使用了一些其它的传输协议。而这些传输协议勇士用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC SERVER.所以只要用到NFS的地方都要启动RPC服务，不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关系：NFS是一个文件系统，而RPC是负责负责信息的传输。

　　NFS需要启动的DAEMONS pc.nfsd:主要复杂登陆权限检测等。

　　rpc.mountd：负责NFS的档案系统，当CLIENT端通过rpc.nfsd登陆SERVER后，对clinet存取server的文件进行一系列的管理

　　NFS SERVER在REDHAT LINUX平台下一共需要两个套件：nfs-utils和PORTMAP

　　nfs-utils：提供rpc.nfsd 及 rpc.mountd这两个NFS DAEMONS的套件

　　portmap:NFS其实可以被看作是一个RPC SERVER PROGRAM,而要启动一个RPC SERVER PROGRAM，都要做好PORT的对应工作，而且这样的任务就是由PORTMAP来完成的。通俗的说PortMap就是用来做PORT的mapping的。

　　一：服务器端的设定（以LINUX为例）

　　服务器端的设定都是在/etc/exports这个文件中进行设定的，设定格式如下：

　　欲分享出去的目录 主机名称1或者IP1(参数1，参数2） 主机名称2或者IP2（参数3，参数4）

　　上面这个格式表示，同一个目录分享给两个不同的主机，但提供给这两台主机的权限和参数是不同的，所以分别设定两个主机得到的权限。可以设定的参数主要有以下这些：
rw：可读写的权限；
ro：只读的权限；

　　no_root_squash：登入到NFS主机的用户如果是ROOT用户，他就拥有ROOT的权限，此参数很不安全，建议不要使用。root_squash：在登入 NFS 主?C使用分享之目?的使用者如果是 root ?r那????使用者的?嘞?⒈?嚎s成?槟涿?褂谜撸?ǔＫ??UID ? GID 都???成 nobody 那??身份；all_squash：不管登陆NFS主机的用户是什么都会被重新设定为nobody。

　　anonuid：将登入NFS主机的用户都设定成指定的user id,此ID必须存在于/etc/passwd中。

　　anongid：同 anonuid ，但是?成 group ID 就是了！

　　sync：资料同步写入存储器中。

　　async：资料会先暂时存放在内存中，不会直接写入硬盘。

　　insecure 允许从这台机器过来的非授权访问。

　　例如可以编辑/etc/exports为：
/tmp　　　　　*(rw,no_root_squash)
/home/public　192.168.0.*(rw)　　 *(ro)
/home/test　　192.168.0.100(rw)
/home/linux　 *.the9.com(rw,all_squash,anonuid=40,anongid=40)
设定好后可以使用以下命令启动NFS:
/etc/rc.d/init.d/portmap start (在REDHAT中PORTMAP是默认启动的）
/etc/rc.d/init.d/nfs start

　　exportfs命令：

　　如果我们在启动了NFS之后又修改了/etc/exports，是不是还要重新启动nfs呢？这个时候我们就可以用exportfs命令来使改动立刻生效，该命令格式如下：
exportfs [-aruv]
-a ：全部mount或者unmount /etc/exports中的内容
-r ：重新mount /etc/exports中分享出来的目录
-u ：umount 目录
-v ：在 export 的?r候，将详细的信息输出到屏幕上。
具体例子：
[root @test root]# exportfs -rv <==全部重新==全部都卸载了。



　　客户段的操作：

　　1、showmout命令对于NFS的操作和查错有很大的帮助，所以我们先来看一下showmount的用法
showmout
-a ：这个参数是一般在NFS SERVER上使用，是用来显示已经mount上本机nfs目录的cline机器。
-e ：显示指定的NFS SERVER上export出来的目录。
例如：
showmount -e 192.168.0.30
Export list for localhost:
/tmp *
/home/linux *.linux.org
/home/public (everyone)
/home/test 192.168.0.100

　　2、mount nfs目录的方法：
mount -t nfs hostname(orIP):/directory /mount/point
具体例子：
Linux: mount -t nfs 192.168.0.1:/tmp /mnt/nfs
Solaris:mount -F nfs 192.168.0.1:/tmp /mnt/nfs
BSD: mount 192.168.0.1:/tmp /mnt/nfs

　　3、mount nfs的其它可选参数：

　　HARD mount和SOFT MOUNT：HARD: NFS CLIENT会不断的尝试与SERVER的连接（在后台，不会给出任何提示信息,在LINUX下有的版本仍然会给出一些提示），直到MOUNT上。
SOFT:会在前台尝试与SERVER的连接，是默认的连接方式。当收到错误信息后终止mount尝试，并给出相关信息。例如：mount -F nfs -o hard 192.168.0.10:/nfs /nfs

　　对于到底是使用hard还是soft的问题，这主要取决于你访问什么信息有关。例如你是想通过NFS来运行X PROGRAM的话，你绝对不会希望由于一些意外的情况（如网络速度一下子变的很慢，插拔了一下网卡插头等）而使系统输出大量的错误信息，如果此时你用的是HARD方式的话，系统就会等待，直到能够重新与NFS SERVER建立连接传输信息。另外如果是非关键数据的话也可以使用SOFT方式，如FTP数据等，这样在远程机器暂时连接不上或关闭时就不会挂起你的会话过程。

　　rsize和wsize：

　　文件传输尺寸设定：V3没有限定传输尺寸，V2最多只能设定为8k，可以使用-rsize and -wsize 来进行设定。这两个参数的设定对于NFS的执行效能有较大的影响 bg：在执行mount时如果无法顺利mount上时，系统会将mount的操作转移到后台并继续尝试mount，直到mount成功为止。（通常在设定/etc/fstab文件时都应该使用bg，以避免可能的mount不上而影响启动速度）
fg：和bg正好相反，是默认的参数

　　nfsvers＝n:设定要使用的NFS版本，默认是使用2，这个选项的设定还要取决于server端是否支持NFS VER 3

　　mountport：设定mount的端口

　　port：根据server端export出的端口设定，例如如果server使用5555端口输出NFS,那客户端就需要使用这个参数进行同样的设定

　　timeo=n:设置超时时间，当数据传输遇到问题时，会根据这个参数尝试进行重新传输。默认值是7/10妙（0.7秒）。如果网络连接不是很稳定的话就要加大这个数值，并且推荐使用HARD MOUNT方式，同时最好也加上INTR参数，这样你就可以终止任何挂起的文件访问。

　　intr 允许通知中断一个NFS调用。当服务器没有应答需要放弃的时候有用处。
　　udp：使用udp作为nfs的传输协议（NFS V2只支持UDP)
　　tcp：使用tcp作为nfs的传输协议
　　namlen=n：设定远程服务器所允许的最长文件名。这个值的默认是255
　　acregmin=n：设定最小的在文件更新之前cache时间，默认是3
　　acregmax=n：设定最大的在文件更新之前cache时间，默认是60
　　acdirmin=n：设定最小的在目录更新之前cache时间，默认是30
　　acdirmax=n：设定最大的在目录更新之前cache时间，默认是60
　　actimeo=n：将acregmin、acregmax、acdirmin、acdirmax设定为同一个数值，默认是没有启用。
　　retry=n：设定当网络传输出现故障的时候，尝试重新连接多少时间后不再尝试。默认的数值是10000 minutes
　　noac:关闭cache机制。

　　同时使用多个参数的方法：mount -t nfs -o timeo=3,udp,hard 192.168.0.30:/tmp /nfs
请注意，NFS客户机和服务器的选项并不一定完全相同，而且有的时候会有冲突。比如说服务器以只读的方式导出，客户端却以可写的方式mount,虽然可以成功mount上，但尝试写入的时候就会发生错误。一般服务器和客户端配置冲突的时候，会以服务器的配置为准。


　　4、/etc/fstab的设定方法

　　/etc/fstab的格式如下：
fs_spec　　　fs_file　　fs_type　　　fs_options　　fs_dump　fs_pass　

　　fs_spec:该字段定义希望加载的文件系统所在的设备或远程文件系统,对于nfs这个参数一般设置为这样：192.168.0.1:/NFS
　　fs_file:本地的挂载点
　　fs_type：对于NFS来说这个字段只要设置成nfs就可以了
　　fs_options:挂载的参数，可以使用的参数可以参考上面的mount参数。
　　fs_dump　-　该选项被"dump"命令使用来检查一个文件系统应该以多快频率进行转储，若不需要转储就设置该字段为0

　　fs_pass　-　该字段被fsck命令用来决定在启动时需要被扫描的文件系统的顺序，根文件系统"/"对应该字段的值应该为1，其他文件系统应该为2。若该文件系统无需在启动时扫描则设置该字段为0 。

　　5、与NFS有关的一些命令介绍
　　nfsstat: 查看NFS的运行状态，对于调整NFS的运行有很大帮助
　　rpcinfo： 查看rpc执行信息，可以用于检测rpc运行情况的工具。


　　四、NFS调优

　　调优的步骤：

　　1、测量当前网络、服务器和每个客户端的执行效率。

　　2、分析收集来的数据并画出图表。查找出特殊情况，例如很高的磁盘和CPU占用、已经高的磁盘使用时间
　　3、调整服务器
　　4、重复第一到第三步直到达到你渴望的性能


　　与NFS性能有关的问题有很多，通常可以要考虑的有以下这些选择： WSIZE,RSIZE参数来优化NFS的执行效能 WSIZE、RSIZE对于NFS的效能有很大的影响。

　　wsize和rsize设定了SERVER和CLIENT之间往来数据块的大小，这两个参数的合理设定与很多方面有关，不仅是软件方面也有硬件方面的因素会影响这两个参数的设定（例如LINUX KERNEL、网卡，交换机等等）。

　　下面这个命令可以测试NFS的执行效能，读和写的效能可以分别测试，分别找到合适的参数。对于要测试分散的大量的数据的读写可以通过编写脚本来进行测试。在每次测试的时候最好能重复的执行一次MOUNT和unmount。time dd if=/dev/zero of=/mnt/home/testfile bs=16k count=16384

　　用于测试的WSIZE,RSIZE最好是1024的倍数，对于NFS V2来说8192是RSIZE和WSIZE的最大数值，如果使用的是NFS V3则可以尝试的最大数值是32768。如果设置的值比较大的时候，应该最好在CLIENT上进入mount上的目录中，进行一些常规操作（LS,VI等等），看看有没有错误信息出现。有可能出现的典型问题有LS的时候文件不能完整的列出或者是出现错误信息，不同的操作系统有不同的最佳数值，所以对于不同的操作系统都要进行测试。

　　设定最佳的NFSD的COPY数目。

　　linux中的NFSD的COPY数目是在/etc/rc.d/init.d/nfs这个启动文件中设置的，默认是8个NFSD,对于这个参数的设置一般是要根据可能的CLIENT数目来进行设定的，和WSIZE、RSIZE一样也是要通过测试来找到最近的数值。

　　UDP and TCP 可以手动进行设置，也可以自动进行选择。

　　mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR
UDP有着传输速度快，非连接传输的便捷特性，但是UDP在传输上没有TCP来的稳定，当网络不稳定或者黑客入侵的时候很容易使NFS的 Performance 大幅降低甚至使网络瘫痪。所以对于不同情况的网络要有针对的选择传输协议。nfs over tcp比较稳定，nfs over udp速度较快。在机器较少网络状况较好的情况下使用UDP协议能带来较好的性能，当机器较多，网络情况复杂时推荐使用TCP协议（V2只支持UDP协议）。在局域网中使用UDP协议较好，因为局域网有比较稳定的网络保证，使用UDP可以带来更好的性能，在广域网中推荐使用TCP协议，TCP协议能让NFS在复杂的网络环境中保持最好的传输稳定性。可以参考这篇文章：

　　版本的选择

　　V3作为默认的选择（RED HAT 8默认使用V2,SOLARIS 8以上默认使用V3），可以通过vers= mount option来进行选择。LINUX通过mount option的nfsvers=n进行选择。

　　五、NFS故障解决

　　1、NFSD没有启动起来 首先要确认 NFS 输出列表存在，否则 nfsd 不会启动。可用 exportfs 命令来检查，如果 exportfs 命令没有结果返回或返回不正确，则需要检查 /etc/exports 文件。

　　2、mountd 进程没有启动 mountd 进程是一个远程过程调用 (RPC) ，其作用是对客户端要求安装（mount）文件系统的申请作出响应。mountd进程通过查找 /etc/xtab文件来获知哪些文件系统可以被远程客户端使用。另外，通过mountd进程，用户可以知道目前有哪些文件系统已被远程文件系统装配，并得知远程客户端的列表。查看mountd是否正常启动起来可以使用命令rpcinfo进行查看，在正常情况下在输出的列表中应该象这样的行：
100005 1 udp 1039 mountd
100005 1 tcp 1113 mountd
100005 2 udp 1039 mountd
100005 2 tcp 1113 mountd
100005 3 udp 1039 mountd
100005 3 tcp 1113 mountd

　　如果没有起来的话可以检查是否安装了PORTMAP组件。rpm -qa|grep portmap

　　3、fs type nfs no supported by kernel kernel不支持nfs文件系统，重新编译一下KERNEL就可以解决。
　　4、can't contact portmapper: RPC: Remote system error - Connection refused
出现这个错误信息是由于SEVER端的PORTMAP没有启动。

　　5、mount clntudp_create: RPC: Program not registered NFS没有启动起来，可以用showmout -e host命令来检查NFS SERVER是否正常启动起来。

　　6、mount: localhost:/home/test failed, reason given by server: Permission denied
这个提示是当client要mount nfs server时可能出现的提示，意思是说本机没有权限去mount nfs server上的目录。解决方法当然是去修改NFS SERVER咯。

　　7、被防火墙阻挡这个原因很多人都忽视了，在有严格要求的网络环境中，我们一般会关闭linux上的所有端口，当需要使用哪个端口的时候才会去打开。而NFS默认是使用111端口，所以我们先要检测是否打开了这个端口，另外也要检查TCP_Wrappers的设定。


　　六、NFS安全
　　NFS的不安全性主要体现于以下4个方面:

　　1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现
　　2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制
　　3、较早的NFS可以使未授权用户获得有效的文件句柄
　　4、在RPC远程调用中,一个SUID的程序就具有超级用户权限.

　　加强NFS安全的方法：

　　1、合理的设定/etc/exports中共享出去的目录，最好能使用anonuid，anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限，最好不要使用root_squash。

　　2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT

　　3、为了防止可能的Dos攻击，需要合理设定NFSD 的COPY数目。
　　4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow

/etc/hosts.deny
portmap: ALL : deny

　　5、改变默认的NFS 端口 NFS默认使用的是111端口，但同时你也可以使用port参数来改变这个端口，这样就可以在一定程度上增强安全性。

　　6、使用Kerberos V5作为登陆验证系统.


文章转自 http://mdjhaitao.blog.163.com/blog/static/10143121200752044518/