Установка SSH

на ОС Gentoo и ОС Windows10 установленной на виртуальной машине Qemu.
На Windows загружаем и устанавливаем Copssh Free Edition"

На Gentoo устанавливаем net-misc/openssh:

root # emerge --ask net-misc/openssh

Генерируем ключ, который будет использоваться для протокола SSH версии 2 (алгоритмы DSA И RSA):

root # /usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""

root # /usr/bin/ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""

После установки "Copssh Free Edition" на Windows открываем "2.Start a Unix BASH Shell" и работаем, как в обычной консоли Linux.
На Gentoo запускаем OpenSSH по умолчанию:

root # rc-update add sshd default

OpenSSH можно запускать, останавливать и перезапускать следующими командами:

root # /etc/init.d/sshd start
root # /etc/init.d/sshd stop
root # /etc/init.d/sshd restart

Конфигурируем файлы сервера

для Windows (файлы /etc/sshd_config), для Gentoo (файлы /etc/ssh/sshd_config).
Я сконфигурировал следующие значения:

Port 2002
ListenAddress 0.0.0.0
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
KeyRegenerationInterval 1h
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
PasswordAuthentication no
UsePAM yes
# X11Forwarding yes
# X11DisplayOffset 10
# X11UseLocalhost yes
PrintMotd no
PrintLastLog no
UsePrivilegeSeparation sandbox # Default for new installations.
ClientAliveInterval 30
Subsystem sftp /usr/lib64/misc/sftp-server
AcceptEnv LANG LC_*

Конфигурируем файлы клиента

для клиента: Windows (файлы /etc/ssh_config), для Gentoo (файлы /etc/ssh/ssh_config)

Host*
# ForwardAgent yes
# ForwardX11 yes
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication no
BatchMode no
CheckHostIP yes
IdentityFile ~/.ssh/id_rsa
Port 2002
Protocol 2
SendEnv LANG LC_*

Создаём папки "authorized_keys" для Windows:

lubov@lubov $ mkdir /cygdrive/c/Documents\ and\ Settings/Lubov/.ssh/authorized_keys/

для Gentoo:

nikolay@localhost $ mkdir /home/nikolay/.ssh/authorized_keys/

Генерируем ключи на сервере (Gentoo)

nikolay@localhost $ ssh-keygen -t rsa

Generating public/private rsa key pair.
Enter file in which to save the key (/home/nikolay/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): набираем пароль
Enter same passphrase again: повторяем набраный пароль
Your identification has been saved in /home/nikolay/.ssh/id_rsa.
Your public key has been saved in /home/nikolay/.ssh/id_rsa.pub.
The key fingerprint is:
de:ad:be:ef:15:g0:0d:13:37:15:ad:cc:dd:ee:ff:61 nikolay@localhost
The key's randomart image is:
+--[ RSA 2048]----+
| |
| . |
| . .. n . |
| . (: . . |
| o . . : . |
| . ..: >.) . |
| * ?. . |
| o.. .. .. |
| :. . ! . |
+-----------------+

Копируем полученный ключ "id_rsa.pub" (например через флешку) из папки /home/nikolay/.ssh/
в папку "/cygdrive/c/Documents\ and\ Settings/Lubov/.ssh/authorized_keys" клиента (Windows)
Cинтаксис команды ssh:

имя_пользователя@адрес_машины

Заходим из клиента (Windows) на сервер (Gentoo):

lubov@lubov $ ssh nikolay@192._ _ _._._ _ _ -p 2002
nikolay@localhost

При первом входе в систему, пользователь получает сообщение, что ключ хоста для этой системы должен быть подтверждён.
Выход домой:

nikolay@localhost $ exit

Чтобы демон OpenSSH загружался при запуске системы в Systemd:

root # systemctl enable sshd.service
Created symlink from /etc/systemd/system/multi-user.target.wants/sshd.service to /usr/lib64/systemd/system/sshd.service.

Для запуска OpenSSH демона:

root # systemctl start sshd.service

Для проверки работает ли сервис:

root # systemctl status sshd.service

Поддержка ключей DSA

В новой версии ssh по умолчанию не поддерживает DSA ключи.
Для их поддержки необходимо:
1) В домашней директории создать файл ~/.ssh/config
2) Установить chmod 600 ~/.ssh/config
3) В файле ввести:

Host Ваш-хост
HostkeyAlgorithms +ssh-dss
PubkeyAcceptedKeyTypes=+ssh-dss

При возникновении следующей ошибки:

$ ssh nikolay@domen.ru
Unable to negotiate with XX.XXX.XX.XX port 22: no matching host key type found. Their offer: ssh-dss

исправляем:

$ ssh -oHostKeyAlgorithms=+ssh-dss nikolay@domen.ru

Копирование файлов и выполнение команд через SSH

Во время копирования исходного фала в файл назначения, который уже существует,
SCP перезаписывает файл назначения. Если файл назначения еще не существует, тогда создается пустой файл, ему задается имя файла назначения и уже в него записывается содержимое копируемого файла.
Копируем файл "file.txt" с локального компьютера на удаленный сервер.

$ scp /local/directory/file.txt user@remote.host:/remote/directory

Копируем файл "file.txt" из удаленного сервера на локальный компьютер.

$ scp user@remote.host:/remote/directory/file.txt /local/directory

В случае возникновения проблеммы копирования файлов на сервер, удаляем файл ".ssh/known_hosts" находящийся в домашней директории клиента:

$ rm ~/.ssh/known_hosts

При повторном копировании на сервер, ssh сам создаст новый файл".ssh/known_hosts".
Выполнение команд осуществляется следующим образом:

$ ssh user@remote.host [команда] /remote/directory/file.txt

Например удаление файла:

$ ssh user@remote.host rm /remote/directory/file.txt

Чтобы не вводить пароль после каждой операции (например в скрипте), перед командой добавляем sshpass -p <password>, например:

$ sshpass -p <password> ssh user@remote.host rm /remote/directory/file.txt

Предварительно установив sshpass:

emerge --ask net-misc/sshpass

Установка "Gentoo" по SSH

Для разрешения другим пользователям доступ к системе во время установки Gentoo, необходимо установить пароль для root и создать учетную запись пользователя, SSH демон должен быть запущен.
Устанавливаем пароль для root:

root # passwd
New password: (Enter the new password)
Re-enter password: (Re-enter the password)

Для создания учетной записи пользователя, сначала вводим учетные данные, следом задаём пароль аккаунту.

root # useradd -m -G users nikolay
root # passwd nikolay
New password: (Enter nikolay's password)
Re-enter password: (Re-enter nikolay's password)

Для переключения с (текущего) пользователя root на вновь созданный аккаунт пользователя используется команда su:

root # su nikolay

Генерируем ключи на сервере: для root:

root # ssh-keygen -t rsa

и при необходимости, для пользователя.
Ключ "id_rsa.pub" из папки /root/.ssh/ сервера передаём клиенту и копируем в папку ~/.ssh/authorized_keys/
Чтобы запустить демон SSH, выполняем следующую команду:

root # service sshd start

Заходим на сервер:
Для root:

localhost $ ssh root@192._ _ _._._ _ _ -p 2002

В случае возникновения проблемы входа на сервер, удаляем файл "~/.ssh/known_hosts" и пробуем зайти повторно.
Для пользователя, как обычно.

SSH на Windows 10

В настоящее время OpenSSH на Windows 10 находится в бета-тестировании.
Для его установки, открываем:
"Парамерты" > "Приложения" > "Управление дополнительным компонентами" > выбераем "Клиент OpenSSH" и/или "Сервер OpenSSH"
Убеждаемся, что они доступны.
Открываем PowerShell от администратора нажимая клавишы Windows + X и выбираем PowerShell(администратор).
Набираем команду:

Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'

Для установки клиента и сервера используем следующие команды:

Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Настраиваем OpenSSH Server (sshd).

cd C:\Windows\System32\OpenSSH

Запускаем SSH Server сервис:

Start-Service sshd
Get-Service sshd

Открываем порт 22/tcp:

New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)'

Создаём папку authorized_keys для хранения публичных ключей:
"Локальный диск(C:)" > "Пользователи" > "User" > ".ssh" > "authorized_keys"
OpenSSH на Windows 10 готов принимать подключения.

Установка и настройка OpenVPN

VPN (Virtual Private Network, Виртуальная частная сеть) – это решение, позволяющее обеспечивать анонимность в сети Интернет, одновременно шифруя и сжимая весь передаваемый трафик. Суть технологии заключается в том, что на компьютер - клиент устанавливается специальная программа, которая «на лету» и прозрачно для пользователя зашифровывает все передаваемые данные и передаёт на промежуточный компьютер (VPN-сервер). На VPN-сервере установлено специальное программное обеспечение, которое расшифровывает трафик и посылает его в нужном направлении.
В ядре сервера и клиента устанавливаем следующие параметры:

Device Drivers --->
[*] Network device support --->
[*] Network core driver support
<*> Universal TUN/TAP device driver support

Устанавливаем OpenVPN на сервере и клиенте.

emerge --ask net-vpn/openvpn

Для создания ключей OpenVPN, на сервер устанавливаем скрипы easy-rsa:

emerge --ask app-crypt/easy-rsa
cp -a /usr/share/easy-rsa /root/easy-rsa-example
cd /root/easy-rsa-example
mv vars.example vars

Заполняем файл vars.

Не оставляем ни один из этих параметров пустым. Изменяем параметр KEY_SIZE на 2048 для SSL/TLS, чтобы использовать 2048-битные ключи RSA для аутентификации.

vim /root/easy-rsa-example/vars

# Choices are:
# cn_only - use just a CN value
# org - use the "traditional" Country/Province/City/Org/OU/email/CN format
set_var EASYRSA_DN "org"
# Организационные поля (используются в режиме 'org' и игнорируются в режиме 'cn_only')
# Это значения по умолчанию для полей, которые будут помещены в # сертификат. Не оставляйте ни одного из этих полей пустыми, хотя в интерактивном режиме
# вы можете опустить любое конкретное поле, набрав «.» символ (недействителен для # электронной почты)
set_var EASYRSA_REQ_COUNTRY "US"
set_var EASYRSA_REQ_PROVINCE "CA"
set_var EASYRSA_REQ_CITY "SanFrancisco"
set_var EASYRSA_REQ_ORG "Fort-Funston"
set_var EASYRSA_REQ_EMAIL "mail@host.domain"

Удаляем все ранее созданные сертификаты:

./easyrsa init-pki

Это удалит все ранее созданные сертификаты, хранящиеся в /root/easy-rsa-example/pki, включая сертификат центра сертификации (CA).
Опция build-ca генерирует сертификат центра сертификации (CA):

./easyrsa build-ca

Опция gen-req <имя сервера> nopass генерирует запрос сертификата сервера и ключ. Убедимся, что имя сервера (общее имя при запуске скрипта) уникально. Опция nopass означает, что нет необходимости импортировать пароль:

./easyrsa gen-req example nopass

Опция sign-req server <имя сервера> подписывает файл сертификата .crt, необходимый для сервера.

./easyrsa sign-req server example

Опция gen-dh генерирует файл .pem параметров Диффи-Хеллмана (DH), необходимый серверу. Лучше создать новый для каждого сервера, но можно использовать тот же:

./easyrsa gen-dh

Опция build-client-full <client name> nopass генерирует сертификат и ключ клиента. Убедимся, что имя клиента (общее имя при запуске скрипта) уникально. Опция nopass означает, что нет необходимости вводить пароль.
Не вводите контрольный пароль или название компании, когда сценарий запрашивает его.
Каждый раз, когда создаём новый ключ клиента, делается только этот шаг!

./easyrsa build-client-full clientA nopass

Генерируем секретный код аутентификации сообщений (HMAC) на основе хеша.

openvpn --genkey --secret /root/easy-rsa-example/pki/ta.key

Опция ./easyrsa build-server-full <имя сервера> nopass генерирует сертификат и ключ сервера (делает то же самое, что и gen-req и sign-req). Убедимся, что имя сервера (общее имя при запуске скрипта) уникально. Опция nopass означает, что нет необходимости вводить пароль.
ca.crt (сервер + все клиенты) Публичный ключ (сертификат) корневого центра сертификации (CA), не секретный.
ca.key (только для машины, подписывающей ключи) Приватный ключ корневого центра сертификации (CA), секретный.
dh{n}.pem (только сервер) Параметры Диффи Хеллмана, не секретный.
ta.key (сервер + все клиенты) HMAC подпись к пакетам SSL/TLS, секретный.
server.crt (только сервер) Сертификат (публичный ключ) сервера, не секретный.
server.key (только сервер) Приватный ключ сервера, секретный.
clientA.crt (только clientA) Сертификат (публичный ключ) ClientA, не секретный.
Файл .pem: протокол Ди́ффи — Хе́ллмана (англ. Diffie-Hellman, DH) — криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя не защищённый от прослушивания канал связи.
Для безопасности рекомендуется, чтобы центр сертификации был на отдельном компьютере, ключи сервера генерировались на другом компьютере, и каждый клиент генерировал свои ключи на своём компьютере.
Все созданные ключи размещаем на сервере в директории /etc/openvpn/keys/.
Создаём файл конфигурации на сервере:

vim /etc/openvpn/server/server.conf

# Какой порт использовать
# Значением по умолчанию является 1194
port 1194
# TCP или UDP протокол. Рекомендуется UDP
;proto tcp
proto udp
# Не нужно менять
;dev tap
dev tun
# Ключи: первым идёт публичный ключ центра сертификации
# затем публичный ключ сервера
# затем приватный ключ сервера
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servername.crt
key /etc/openvpn/keys/servername.key # Этот файл нужно хранить в секрете
# Параметры Diffie hellman
dh /etc/openvpn/keys/dh.pem
# Будет создана виртуальная локальная сеть
# Здесь указываются её параметры
# Не нужно ничего менять без особых причин
server 10.8.0.0 255.255.255.0
# При перезагрузке сервера, клиенту будет назначен его прежний IP адрес
ifconfig-pool-persist ipp.txt
# Эта настройка делает так, что при подключении к VPN
# для клиентов сервер VPN становится шлюзом по умолчанию
push "redirect-gateway def1 bypass-dhcp"
# Если раскомментировать эту настройку,
# то для нескольких клиентов можно использовать одну и ту же пару
# приватный-публичный ключ,
# но это не рекомендуется
;duplicate-cn
# Пинговать удалённый узел каждые 10 секунд
# и считать его упавшим, если он не ответил за 120 секунд
keepalive 10 120
# Дополнительная защита для DoS атак и флудинга портов UDP
# благодаря созданию "HMAC файервола"
# за счёт добавления дополнительной подписи к SSL/TLS
# Файл ta.key был создан во время генерирования ключей,
# он должен быть доставлен также каждому клиенту
remote-cert-tls client
tls-auth /etc/openvpn/keys/ta.key 0 # Этот файл нужно хранить в секрете
# Выбор криптографических шифров
# У клиентов должно быть также
;cipher AES-256-CBC
# Включение сжатия и отправка настройки клиенту
compress lz4-v2
;push "compress lz4-v2"
# Максимальное число одновременно подключённых клиентов
;max-clients 100
# Понижение привилегий демона OpenVPN
# после запуска
#
# Только для не Windows систем.
;user nobody
;group nobody
# Хранить ключи в памяти, на случай, если не получается
# получить к ним доступ из-за понижения привилегий
; persist-key
; persist-tun
# Короткий файл текущего статус
# содержит текущие соединения
# обрезается и перезаписывается каждую минуту
;status openvpn-status.log
# По умолчанию логи идут в syslog
# "log" означает перезапись файла журнала при каждом запуске OpenVPN,
# а "log-append" означает дополнение журнала
# Используйте только одну, а не обе!
;log openvpn.log
;log-append openvpn.log
# Уровень вербальности
# 0 тихий, кроме фатальных ошибок
# 4 подходит для обычного использования
# 5 и 6 помогают в отладке при решении проблем с подключением
# 9 крайне вербальный
verb 4
# Предупреждать клиента, что сервер перезапускается
# чтобы клиенты могли автоматически переподключиться
explicit-exit-notify 1

Тестируем OpenVPN сервер:

openvpn /etc/openvpn/server/server.conf

Если есть ошибки в файле конфигурации, то программа сразу завершиться с ошибкой.
Если всё в порядке запускаем OpenVPN сервер:

/etc/init.d/openvpn start

Для systemctl используется команда вида openvpn-server@<configuration>.service, где <configuration> - это файл конфигурации, который лежит в папке /etc/openvpn/server/, но без расширения .conf:

systemctl start openvpn-server@server.service

Включение маршрутизации трафика на OpenVPN сервере.
На данном этапе, если бы кто-то подключился к OpenVPN серверу, то он не сможет подключаться к глобальной сети. Чтобы это стало возможным нужно настроить маршрутизацию трафика.
Для этого создайте файл vpn_route.sh.
B этот файл скопируем следующее содержимое, отредактировав его под свои нужды.

#!/bin/sh

# укажите имя интерфейса, иначе скрипт попытается выбрать его автоматически
#DEV='eth0'
DEV='enp3s0'
PRIVATE=10.8.0.0/24
if [ -z "$DEV" ]; then
DEV="$(ip route | grep default | head -n 1 | awk '{print $5}')"
fi
# Включаем форвардинг пакетов, чтобы из туннельного интерфейса
# они попадали на внешний интерфейс
sysctl net.ipv4.ip_forward=1
# Убеждаемся, что iptables не блокируют перенаправляемый трафик:
iptables -I FORWARD -j ACCEPT
# Преобразование адресов (NAT) для приходящих из туннеля пакетов
# При включенной пересылке пакеты по умолчанию перенаправляются
# с исходным адресом без изменений, то есть в нашем случае 10.8.0.*
# такие пакеты либо удаляются на шлюзе ISP, либо даже если они
# отправляются в пункт назначения, ответ никогда не находит обратного пути.
# Эти частные адреса не маршрутизируются в Интернете.
# Решением является преобразование адресов (NAT) исходящего трафика,
# то есть заменить частный 10.8.0.* адрес общедоступным IP адресом VPN-сервера.
# Это позволит ответам достичь VPN-сервера,
# и там они будут отправлены обратно в туннель.
iptables -t nat -I POSTROUTING -s $PRIVATE -o $DEV -j MASQUERADE

Делаем файл исполняемым:

chmod 755 vpn_route.sh

Чтобы изменения вступили прямо сейчас, до перезапуски компьютера, выполним:

bash vpn_route.sh

Если всё нормально, то для добавления его в автозагрузку systemd создаём файл:

vim /etc/systemd/system/enable-openvpn-routing.service

Со следующим содержимым:

[Unit]
Description=Включение роутинга OpenVPN трафика

[Service]
ExecStart=vpn_route.sh

[Install]
WantedBy=multi-user.target

Строку vpn_route.sh – заменяем на свой путь.
И активируем автозапуск этого файла:

systemctl enable enable-openvpn-routing

На клиентскую машину в директорию /etc/openvpn/keys/ переносим следующие ключи: ca.crt, clientA.crt, clientA.key, ta.key, dh.pem.
Создаём файл конфигурации на клиенте:

vim /etc/openvpn/client/client.conf

# Программа выступает в роли клиента (а не сервера)
client
# Самая важная настройка:
# впишите здесь IP адрес СВОЕГО OpenVPN СЕРВЕРА
# Другие настройки можно вообще не менять!!!
remote 10.8.0.0
# Сервер использует 1194 порт, этот же порт указывается здесь
port 1194
# Не меняйте
dev tun
# Выбор протокола TCP или UDP
# Должен быть таким же, как на сервере
;proto tcp
proto udp
# Имя хоста/IP и порт сервера.
# Можно вписать несколько удалённых серверов
# для балансировки нагрузки.
;remote my-serverA 1194
remote 192.168.0.101 1194
;remote my-serverB 1194
# Если для балансировки нагрузки вы вписали несколько хостов
# то при включении этой опции будет выбран случайный
# в противном случае они будут следовать по очереди
;remote-random
# Бесконечно пытаться преобразовать имя хоста
# сервера OpenVPN. Очень полезно на машинах
# которые подключены к интернету не постоянно,
# например, для ноутбуков
resolv-retry infinite
# Большинству клиентов не нужно
# привязываться к определённому локальному порту
nobind
# Понизить привилегии после подключения (только для не Windows)
;user nobody
;group nobody
# Пытаться сохранить прежнее состояние после перезапуска.
persist-key
persist-tun
# Здесь можно настроить HTTP прокси
# для подключения к OpenVPN серверу
# поддерживается аутентификация на удалённом прокси
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Беспроводные сети часто создают много дублирующих пакетов
# Включите эту настройку, чтобы не показывать предупреждения
# о дубликатах
mute-replay-warnings
# Путь до сертификатов
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/clientA.crt
key /etc/openvpn/keys/clientA.key
# Дополнительная защита
remote-cert-tls server
# Ключ для дополнительной защиты
tls-auth /etc/openvpn/keys/ta.key 1
#Параметры Диффи-Хеллмана.
# Создайте свой собственный с помощью:
# openssl dhparam -out dh1024.pem 1024
# Замените 2048 на 1024, если вы используете
# 2048 битных ключей.
dh /etc/openvpn/keys/dh.pem
# Набор шифров как на сервере
;cipher AES-256-CBC
# Сжатие. Не включайте, если не включено на сервере
comp-lzo
# Вербальность журнала.
verb 3

Тестируем OpenVPN клиент:

openvpn /etc/openvpn/client/client.conf

Не закрывая соединение, в другом терминале вводим:

ifconfig # Должен появиться новый интерфейс

enp3s0: ...

lo: ...

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.8.0.0 netmask 255.255.255.0 destination 10.8.0.0
inet6 fe80::bfb5:81e5:b4b:e712 prefixlen 64 scopeid 0x20<link>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14 bytes 818 (818.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Если всё в порядке запускаем клиент OpenVPN, при желании добавляем его в автозагрузку.

/etc/init.d/openvpn start

Для systemctl используется команда вида openvpn-client@<configuration>.service, где <configuration> - это файл конфигурации, который лежит в папке /etc/openvpn/client/, но без расширения .conf:

systemctl start openvpn-client@client.service
systemctl enable openvpn-client@client.service

Создание общего каталога между компьютерами

Под root на основном компьютере (сервере с ОС "opensuse 42.1")

отключить “Брандмауэр” и “Файрвол”; добавить строку: (общая папка) /home/nikolay
(адрес сети клиента) 192.168.0.101 (rw root_squash) в файл /etc/exports перезагрузить компьютер.
На клиентском компьютере (с ОС «Gentoo») в конфиге ядра должна быть включена поддержка NFS:

File Systems --->
Network File Systems --->
< * > NFS file system support
[ * ] Provide NFSv3 client support
[ * ] Allow direct I/O on NFS files (EXPERIMENTAL)
< * > NFS server support
[ * ] Provide NFSv3 server support
--- Provide NFS server over TCP support

Отключение iptables в тех случаях, когда для нормальной работы сервера внутри корпоративной сети не требуется фильтровать трафик и для некоторого снижения сетевой нагрузки можно отключить встроенный файрволл Iptables.
Делается это следующим образом:

# /etc/init.d/iptables stop (файрволл будет неактивен до следующей перезагрузки)

1. установить пакет nfs-utils

# emerge nfs-utils

(запускаем nfs сервер -

# /etc/init.d/nfs start

и добавляем его в автостарт при загрузке -

# rc-update add nfs default

2. добавить следующие службы в авто-запуск: nfsmount и rpcbind:

# rc-update add nfsmount
# rc-update add rpcbind

3. Пункт 2 нужен для монтирования через /etc/fstab.
Если монтируем командой mount вручную, достаточно запустить rpcbind в активной сессии
(/etc/init.d/rpcbind start), либо также включить ее в автозапуск (у меня она включена по умолчанию).
Соответственно, команда ручного монтирования, пример:
mount (адрес сети сервера)192.168.0.102:/home/nikolay /mnt
Здесь серверная папка /home/nikolai, локальная точка монтирования /mnt
Для потоянного монтирования через /etc/fstab строчка в файле должна быть такой:

192.168.0.102:/home/nikolay /mnt nfs defaults 0 0

4.# usermod -d /home/главная_учётная_запись локальная_учётная_запись
Ради эксперимента, чтобы убедиться что NFS настроен и работает, можно попробовать сменить права доступа к директории:

# chmod 777 /home/nikolay