Fórum Root.cz
Hlavní témata => Server => Téma založeno: Pavel2 17. 02. 2015, 16:59:59
-
Existuje moznost jak zabezpecit bezpecnost NFS jinak nez pomoci IP adresy klienta?
-
NFS security with AUTH_GSS (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Storage_Administration_Guide/s3-nfs-security-hosts-nfsv4.html)
-
Existuje moznost jak zabezpecit bezpecnost NFS jinak nez pomoci IP adresy klienta?
Ano.
-
Ano, ale pokud ti jde skutečně o bezpečnost, nezůstaneš u NFS a nebudeš vymýšlet opičárny s něčím, co na to není uzpůsobeno... :D
-
Můžeš prosím své tvrzení vce rozvést?
Ano, ale pokud ti jde skutečně o bezpečnost, nezůstaneš u NFS a nebudeš vymýšlet opičárny s něčím, co na to není uzpůsobeno... :D
-
"NFS (or Network File System) was originally written by Sun for their Solaris implementation of Unix. While it is significantly easier to get up and running when compared to SMB, it is also significantly less secure. The primary insecurity in NFS is that it is easy to spoof user and group id's from one machine to another. NFS is an unauthenticated protocol. Future versions of the NFS protocol are being devised that enhance security, but these are not common at the time of this writing."
-
Můžeš prosím své tvrzení vce rozvést?
Ano, ale pokud ti jde skutečně o bezpečnost, nezůstaneš u NFS a nebudeš vymýšlet opičárny s něčím, co na to není uzpůsobeno... :D
to je len dalsi odbornik na vsetko, ktory vobec netusi, o com je rec...
-
Ano, jiste.
"
j. Security
NFS is inherently unsecure. While certain methods of encrypted authentication exist, all data is transmitted in the clear, and accounts may be spoofed by user programs.
Workaround: Only use NFS within a highly trusted environment, behind the appropriate firewalls and with careful attention to host security."
-
To co cituješ, to platí beze zbytku tak pro NFS verze 2, případně 3. Dneska je součástí kde čeho i NFSv4+. Tam jsou již jiné možnosti ověřování i šifrování dat, viz to nahoře zmíněné GSS (samotřejmě jd ei nastavit na stejně blbej systém, jak byl v NFS2/3).
-
Je samozřejmě možnost že se již NFS data šifrují, já to studoval již před nějakou dobou. Pokud tomu tak již je, potom se omlouvám za mystifikaci, ale stále si nemyslím že je něco co zde mám podloženo citacemi tlacháním, tak jak činí samalama. :) Já si najdu info o NFSv4, že je již venku vím, ale nestíhám sledovat.
-
Je samozřejmě možnost že se již NFS data šifrují, já to studoval již před nějakou dobou. Pokud tomu tak již je, potom se omlouvám za mystifikaci, ale stále si nemyslím že je něco co zde mám podloženo citacemi tlacháním, tak jak činí samalama. :) Já si najdu info o NFSv4, že je již venku vím, ale nestíhám sledovat.
takze ja tliacham, ale ze ty tu na plnu hubu prehlasujes nieco, co citujem "nestíhám sledovat", to tliachanie nie je, ze?
-
Vlastně ne, od tebe jsem slyšel jen útok na mou osobu, jediný fakt k věci zde podal M. Zmýlit se a psát o starší verzi něčeho protože jsem to vyčetl je dle mého o řád méně nazvatelné tlacháním, než říci "on nic neví", ale už to ničím nepodkládat. ;) Takto to na mě působí, že netušíš o čem je řeč ty a že jen stavíš na tom co napsal M., protože do jeho příspěvku jsi se nějak zapomněl.
-
No, je třeba občas sledovat moderní trendy a výstřelky posledních dní. :-)
Když to vezmu, tak asi plně funční NFSv4 klient/server, včetně šifrování (gss/krb5p), je v konzervě od RHEL od verze 5.4, takže rok 2009. Už v roce 2008 nám vycházel v češtině seriál, kde pitvali jak to v linuxu používat. Viz: http://www.abclinuxu.cz/clanky/bezpecnost/kerberos-a-sso-sdileni-souboru-nfs4
Pro takové stabilněji myšlené nasazení se to dá brát od dob RHEL6. Pravda, v Solarise a NetApp krámech mnohem dříve.
I v linuxu šlo zabezpečené NFS používat i s NFSv3 (jen jako klient) už v dřevních dobách, ale člověk musel ručně násilnit velkou část systému (a jako server použít leda ten Sun). I Microsoft Windows server 2012 obsahuje NFS4.1 server (včetně podpory šifrování).
V podstatě z mainstreamu NFSv4 větší podpora chybí v těch různých malých NAS krabicích, ty pokud mají NFS, tak oficiálně obvkyle končí na NFSv3 (Synology a QNAP mají NFSv4 podporu, ale bez Kerberosu, takže jen v režimu ověření sec=sys na úrovni NFSv2/3).
Takže dnešní doba spíše klade otázku NFSv4/pNFS s RDMA přes Infiniband (nebo 40+ Gbps Ethernet), zde je pořád dost nedodělků v linuxu. Respektive klient už asi jo, server side chybí. :-(
-
Já rozumím a děkuji, co jsem kdysi četl, začal jsem se nfs vyhýbat, používal jsem sshfs, sambu a podobné a byl klid. :) Snažím se pochopitelně orientovat v novinkách, na druhou stranu mě do nynějška nic nenutilo používat právě nfs, tak jsem to prostě nechal být. Na druhou stranu, přesně kvůli tomu sem chodíme, ne? :)