漏洞描述
可以对目标主机进行"showmount -e"操作，此操作将泄露目标主机大量敏感信息，比如目录结构。更糟糕的是，如果访问控制不严的话，攻击者有可能直接访问到目标主机上的数据。
解决方案
NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要，请关闭NFS服务、MOUNTD。

漏洞分析：
在NFS服务端设置允许挂载客户端的IP并赋予权限后，赋予权限的的IP地址是可以挂载nfs共享目录的，没有赋予权限的IP地址不能挂载nfs共享目录，但是通过showmount -e 命令 可以查看到nfs 共享目录列表。
分析结果：
为避免无关服务器可以通过showmount -e 命令查看到nfs服务器的共享目录，可以在防火墙上做策略限制，在防火墙上设置策略，默认拒绝所有服务器的IP挂载nfs服务器共享目录，在开放端口给允许挂载的服务器IP地址。这样没有经过允许的服务器IP地址是无法通过showmount -e 命令查看到nfs服务器上的共享目录了。

rpcinfo -p 查看端口，防火墙禁掉 “mountd”进程对应的端口（不嫌麻烦可以对rpcinfo -p 命令检测出来的所有端口进行防火墙策略设置）

防火墙设置方法：

1. 防火墙规则最后一条插入拒绝所有IP连接nfs服务器的 mountd进程对应端口的规则。
2. 在拒绝策略之上添加允许挂载nfs服务器共享目录的服务器IP规则。

规则设置如下：
iptables -I INPUT -s 源 ip -d nfs服务器ip -p tcp --dport 892 -j ACCEPT //允许策略
iptables -I INPUT -s 源 ip -d nfs服务器ip -p udp --dport 892 -j ACCEPT //允许策略

服务器防火墙设置拒绝策略

iptables -A INPUT -p tcp --dport 892 -j DROP
iptables -A INPUT -p udp --dport 892 -j DROP

验证：
在一台没有被防火墙策略允许的服务器上和策略允许过的服务器上分别用showmount -e 命令验证结果。