NFS-Shares auf Linux-Servern erkennen und auditieren
In gemischten Windows-/Linux-Infrastrukturen werden Datei-Shares oft auf zwei Wegen serviert: SMB (Samba) für Windows-Clients, NFS für andere Linux-Hosts. Während SMB-Shares im IT-Audit standardmäßig auftauchen, sind NFS-Mounts häufig die blinden Flecken. Wir zeigen, wie Sie NFS-Shares zuverlässig finden — auch ohne Linux-Anmeldung — und welche Berechtigungs-Fallstricke Sie kennen sollten.
Warum NFS so oft übersehen wird
NFS ist out-of-the-box auf vielen Linux-Distributionen verfügbar (nfs-kernel-server auf Debian/Ubuntu, nfs-utils auf RHEL/Rocky). Ein Mitarbeiter exportiert „mal eben" ein Verzeichnis für einen Hyper-V-Host oder einen ESXi-Datastore — und vergisst, das ins Inventar einzutragen. Drei Jahre später ist nicht mehr nachvollziehbar, welcher Server welches Verzeichnis warum gemountet hat.
Aus Audit-Sicht sind dabei vor allem drei Konfigurationsfehler relevant:
no_root_squash: Root auf dem Client wird auch zu Root auf dem Server. Bei kompromittierter Workstation = lokaler Root-Zugriff auf den Datei-Server.*als Allow-Quelle: Jeder im Netz darf den Share mounten. Sollte nie auf Produktiv-NFS stehen.- kein Kerberos / nur AUTH_SYS: Authentifizierung allein über UID/GID — wer auf seinem Linux-Client einen User mit der passenden UID anlegt, hat Vollzugriff.
Variante 1: Port-Scan von einem Windows-Audit-Host aus
Die schnellste Inventur ohne Login auf den Linux-Hosts ist ein TCP-Port-Probe. NFS-relevante Ports:
| Port | Dienst | Bedeutung |
|---|---|---|
| 2049/TCP | nfsd | Eigentlicher NFS-Dienst (NFSv4/v3) |
| 111/TCP+UDP | portmap / rpcbind | RPC-Mapper, nur bei NFSv3 |
| 2049/UDP | nfsd (legacy) | Alte UDP-Variante; sollte heute deaktiviert sein |
| 20048/TCP | mountd | Beantwortet showmount-Abfragen |
# auf jedem Linux-Host der bekannten Hosts-Liste prüfen:
Test-NetConnection -ComputerName linsrv01.example.local -Port 2049
Test-NetConnection -ComputerName linsrv01.example.local -Port 20048Antwort auf Port 2049 = NFS aktiv. Das alleine sagt aber noch nichts über die exportierten Verzeichnisse. Dafür brauchen Sie showmount.
Variante 2: showmount aus Windows aufrufen
showmount ist Teil des Windows-Features „Services for NFS". Aktivieren Sie es einmalig auf der Audit-Workstation:
# PowerShell als Administrator
Enable-WindowsOptionalFeature -Online `
-FeatureName NFS-Administration -All -NoRestart
# Anschließend:
showmount -e linsrv01.example.local
# Beispiel-Ausgabe:
# Exports list on linsrv01.example.local:
# /srv/nfs/backup *
# /srv/nfs/vmware 192.168.10.0/24
# /home/projects 192.168.10.42Tipp: Wenn der Linux-Host eine restriktiveiptables- odernftables-Konfiguration hat, antwortetshowmountoft mit „RPC: Timed out". Das heißt nicht zwingend „kein NFS" — es kann auch „NFS auf 2049 läuft, aber mountd ist gefirewallt" bedeuten. Im Zweifel den Linux-Admin direkt fragen oder per SSHcat /etc/exportsprüfen.
Variante 3: ITscanner — automatisch im Hybrid-Audit
Ab Version 2.08.11 erkennt ITscanner NFS-Shares automatisch als Teil des regulären Netzwerk-Scans. Der Workflow:
- Subnet-Scan findet alle Linux-Hosts (anhand TTL und WMI-Antwort-Verhalten).
- Port-Probe auf 2049 + 445 entscheidet, ob der Host NFS, SMB oder beides anbietet.
- Wenn das Windows-Feature „Services for NFS" auf dem Audit-Host installiert ist, ruft ITscanner zusätzlich
showmountfür die Liste der exportierten Pfade auf. - Pro NFS-Host wird eine Zeile im Tab „Freigaben" angelegt mit den Spalten Pfad, Allow-From, Detected-At.
Im BSI-Grundschutz-Bericht erscheinen NFS-Hosts mit Port 2049 zusätzlich in der Sektion „Datei-Dienste-Audit" — neben SMB-Shares mit ACL-Liste und Win32_LogicalShareSecuritySetting-Daten.
Was im NFS-Audit konkret zu prüfen ist
- Existieren NFS-Hosts überhaupt im Inventar? Wenn nicht — Port-Scan auf 2049 in jedem Subnetz starten.
- Sind die Allow-Quellen restriktiv?
*ist fast immer falsch. - Gibt es
no_root_squash-Exporte? Sollte begründet sein (typisch nur für Vmware-Datastore-Mounts mit dediziertem Netz-Segment). - Ist NFSv4 mit Kerberos im Einsatz? Wenn nicht, prüfen Sie, ob das Netzsegment mindestens auf Layer-2 (VLAN) abgetrennt ist.
- Sind die UID/GID-Mappings dokumentiert? Idealerweise wird
idmapdmit zentralem LDAP/AD-Account-Mapping konfiguriert, nicht „flach" über numerische UIDs. - Sind die exportierten Verzeichnisse vom Backup erfasst? NFS-Backup wird oft vergessen, weil das Backup-Tool nur Windows-Pfade scannt.
Beispiel-Befund aus einem realen KMU-Audit
Bei einem mittelgroßen Sat-iTec-Kunden (320 Geräte, 8 Linux-Server, 2 Windows-DCs) hat das ITscanner-NFS-Modul beim ersten Scan vier nicht-dokumentierte NFS-Exporte aufgedeckt:
- Eine alte VMware-Datastore-Freigabe, die seit der ESXi-Migration vor 2 Jahren nicht mehr gebraucht wurde, aber noch
no_root_squash *exportiert hatte. - Ein
/var/backup-Mount, in dem der lokale Backup-Job die SQL-Dumps eines Produktionsservers ablegt — exportiert für jedes interne Subnetz. - Ein
/home-Export, der noch aus einer NIS-Migration vor 5 Jahren stammte und nie deaktiviert wurde. - Ein
/srv/nfs/test, der ein „kurzes Testsetup" eines Entwicklers war, das nie zurückgebaut wurde.
Drei der vier Befunde wurden nach dem Audit unmittelbar deaktiviert. Bei DSGVO- oder ISO-Audits wären das genau die Befunde, die der Auditor sucht.
Hybrid-Audit Windows + Linux automatisieren
ITscanner findet AD-Objekte, Software-Inventar, SMB-Shares mit ACL und NFS-Mounts in einem Durchlauf. Flat-Rate 49,50 € netto pro Jahr, lokal, ohne Cloud, 14 Tage kostenlos testen.
ITscanner herunterladen BSI-Checkliste (PDF) gratis