Who Let The Dogs Out 🐾Для защиты вам надо полностью убрать возможность маскироваться под системные процессы и усилить аутентификацию.
Запрет root в контейнерах — это must have. Запускайте процессы от непривилегированного пользователя (User ID > 0). У обычного пользователя нет capability CAP_NET_BIND_SERVICE, поэтому он физически не сможет открыть порт < 1024.
Запретите контейнерам доступ к порту 2049 на уровне сети, если приложению не нужно монтировать NFS. Принцип минимальных привилегий на уровне L3/L4.
Аутентификация Kerberos (KRB5) — единственный способ проверять личность, а не место. Даже если атакующий подделает IP и порт, без валидного криптографического тикета сервер отклонит запрос. Это золотой стандарт защиты NFS.
Убедитесь, что на сервере включен root_squash (обычно активен по умолчанию). Это превращает любые операции от uid=0 (root) в операции от бесправного пользователя nfsnobody. Атакующий смонтирует шару, но упрётся в права доступа к файлам.