Fórum Root.cz
Hlavní témata => Server => Téma založeno: speedy gonzales 21. 02. 2018, 20:18:47
-
Zdravím,
V domácí síti provozuji NAS a soubory sdílím primárně přes NFS - jelikož všechny moje stroje jsou linuxové přijde mi to jako přirozené řešení. Co mi vadí je v podstatě nulové zabezpečení. Přecijen se ve stejné síti občas vyskytne nějaký ten ntb s win nebo androidí telefon, kterým kvůli různým malwarům a backdoorům moc nedůvěřuju. Víte o nějaké _snadné_ cestě, jak NFS zabezpečit? Nepožaduji šifrování, stačila by mi jen autentikace. Ano, vím že lze provozovat s kerberosem (sec=krb5), ale... Považuji se za poměrně pokročilého uživatele, ale nastavit tu monstrozitu zvanou kerberos (+ ještě je k němu potřeba LDAP a centrální správa uživatelů) považuji za téměř nemožné. Pak se dají udělat různé obezličky jako přesunout si autentikaci na jinou vrstvu a řešit na úrovni např. tunelu přes ssh nebo nějaké vpn přes který se bude celý NFS provoz posílat. Ale to mi taky nepřijde moc hezké, navíc šifrování to bude zbytečně brzdit. Nějaké nápady?
Kdysi snad pro NFS existovalo něco jako volba sec=dh, což by bylo přesně to co potřebuju, bohužel byla z nějakých důvodů odstraněna.
-
nfs jsem vzdycky chtel jen nastavit a uz se nestarat, dalsi detaily to je hnus fialovo-zeleny.
to uz radeji ten sshfs.
a nemuzes udelat demilitarizovanou zonu jen pro windows a android?
-
Řešil jsem to nedávno. Jediné řešení na to, co chceš, je prostě NFS nepoužívat. Bez synchronizace uživatelů/skupin (proto ten LDAP) je to stejně nepoužitelný.
Buďto ty Win-kompy dej na jinou podsíť (VLAN) nebo se prostě nauč kroky tance jménem Samba...
-
Taky jsem zjistil, že NFS je nepoužitelný. Zabezpečení samo o sobě nula, identifikace na straně serveru by default jenom IP adresou (s DHCP poolem nebo možností ruční změny IP adresy je to absolutně mimo) a rozcházet autentizaci nad tím je opruz...
Pak je tady ještě CIFS/SAMBA (nešifruje, jinak použitelný) nebo SSHFS (brzdí ho ne šifrování, ale debilita autorů a ne moc dobře zpracovaný buffery).
Já jedu na SSHFS. Dá se to pustit i ven, pokud se autorizuješ jenom certifikátem (= odpadne šachování s VPN) a co se rychlosti týká, tak WD Red připojená po USB k Turrisu 1 dá nějak kolem 30MB/s v LAN. Takže na filmy a dokumenty OK (a ven je stejně míň dimenzovaná lajna).
-
Pak je tady ještě CIFS/SAMBA (nešifruje, jinak použitelný) nebo SSHFS (brzdí ho ne šifrování, ale debilita autorů a ne moc dobře zpracovaný buffery).
SAMBA by mela umet sifrovani, ale musi se zapnout, pricemz je treba doufat, ze nekde najdete alespon castecne aktualni manual. Jinak je trapne, ze na Linuxu na sitove disky mame v podstate jen hruzostrasne NFS nebo sitovy protokol z Widli.
Sshs nebrzdi debilita autoru sshfs, ale velikost bufferu v sshd. Mozna by bylo dobre si pripomenout, ze ssh znamena secure shell a to bylo jeho puvodnim ucelem, tedy nahrada telnetu, nikoliv prenos souboru ci dokonce montovani vzdalenych disku, ktere se navic dela pres FUSE. Prenos souboru byl do ssh dolepen dodatecne a jaksi nebyly provedeny upravy s ohledem na optimalizaci rychlosti.
Resenim by asi bylo pouziti https://www.root.cz/clanky/high-performance-ssh-scp-rychle-prenosy-souboru-bezpecnym-kanalem/ . Ovsem pokud byste to zaroven chtel pouzit i na Widlich, tak to se dobre pobavite. Sice existuje nejaky widloklient, na jehoz jmeno si ted nevzpomenu, ale byval tragicky zabugovany a pri pouziti by se clovek posral.
-
Dobrej dotaz, týká se i mě, takže jsem zvědavej na odpovědi.
SSHFS má limit v šifrování. Co jsem zkoušel doma, tak na dvou výkonově podobných CPU (výkon na jádro, bavíme se o i5-750) jsem na Gbit (propojení PC - PC, bez čehokoliv mezi) dosáhl na 55MB/s. Když bych ale chtěl něco dělat po síti na Intel Atom, tak to klesne na cca 3MB/s, což je samozřejmě k ničemu. NFS tenhle problém logicky nemá (má jiné).
Nedal bych už za to ruku do ohně (testoval jsem před pár lety), ale myslím, že těch 55MB/s bylo s nějakou úmyslně (nej)nižší šifrou, než je u SSH standard. Na Intel Atom je jedno, jaká šifra se použije, furt je to o ničem.
-
Tak zrovna na pozadí tahám nějakou zálohu po SSHFS mezi nejstarším Turrisem (WD RED v boxu na USB) a tímhle komplem (i5-2450M, 4x2.5GHz, 8GB RAM, FC27 64b). Malý soubory jedou jako blesk (git repa atd. 2GB za sedm minut), videa lezou 16GB za 35 minut, takže to fakt dělají buffery :(
Taky bych uvítal, kdyby byl v Linuxu nativní remote file systém zabezpečený jako SSHFS (ověření klíčem, end to end šifrování), ale s rychlostí SMB a přístupem k uživatelům jako NFS. A bez extra zacházení jako FTP.
-
...zabezpečený jako SSHFS (ověření klíčem, end to end šifrování)...
Chceš šifrovat, potřebuješ výkon (nebo kryptočip) nebo padá propustnost. Ale fajn by nějakej remote filesystem byl, ne že ne :-)
-
Je tu nekdo, kdo zkousel Coda?
-
Taky bych uvítal, kdyby byl v Linuxu nativní remote file systém zabezpečený jako SSHFS (ověření klíčem, end to end šifrování), ale s rychlostí SMB a přístupem k uživatelům jako NFS. A bez extra zacházení jako FTP.
Pokud se bavíme o NAS použitelném pro koncové uživatele, tak tam asi obecně příliš mnoho možností není https://en.wikipedia.org/wiki/Network-attached_storage#List_of_network_protocols_used_to_serve_NAS
Pro jiná použití by se toho našlo víc, ale zase to vyžaduje větší péči (SAN, různé distribuované filesystémy...)
-
Este je tu WebDAV, ktory moze ist po HTTPS, podpora vo windowse dobra (len treba niekde zrusit nejake nastavenie resolvovania, lebo inak kazda operacia trva ~2 sekundy), v linuxe sa udajne da namountovat cez Davfs2 (to som neskusal), alebo existuju klienti...
Len ten protokol je znacne spraseny.
-
Este je tu WebDAV, ktory moze ist po HTTPS, podpora vo windowse dobra
Ty si s tim asi nic nezkoušel nikdy dělat, viď?
Proboha, použij SMB a nemudruj nad nesmysly, ostatně už k tomu přešel i Apple.
-
Este je tu WebDAV, ....... v linuxe sa udajne da namountovat cez Davfs2 (to som neskusal), alebo existuju klienti...
Pote, co clovek ty linuxove klienty otestuje, tak zjisti, ze zadne pouzitelne neexistuji. WebDAV mi celkem spolehlive fungoval leda v Krusaderu, ten se ale neda pouzit k mountovani vzdalenych ulozist. Nevim, jak na Widlich, ale WebDAV na Linuxu je ostudna katastrofa.
-
Nevim, jak na Widlich, ale WebDAV na Linuxu je ostudna katastrofa.
Zrovně předevčírem jsem přes WebDAV mazal cca 600 souborů v adresáři 15 minut. Tolik asi k "použitelnosti" tohoto nesmyslu obecně.
-
Zrovně předevčírem jsem přes WebDAV mazal cca 600 souborů v adresáři 15 minut. Tolik asi k "použitelnosti" tohoto nesmyslu obecně.
Tak jestli to bylo pres Internet, tak to by se dalo pochopit, zejmena kdyz treba nevis, jak se flaka uloziste na druhe strane. Ale to, ze se neda nakopirovat na WebDAV vetsi soubor, aniz by to spadlo je uz horsi. Nebo treba to, ze s nekterymi klienty se soubor narve do cache a pak neni moznost uloziste odmountovat, dokud se nedokonci kopirovani. Predstavoval bych si, ze jednoduse odmountuju a pri pristim namountovani se bude pokracovat. Odmountovat ale jde jen rebootem pocitace a pak se nepokracuje.
Takze ten WebDAV se da pouzit jeste tak na to mazani a tim to konci. Provideri ulozist by udelali lepe, kdyby nabizeli rsync.
-
NFS bol odjakziva robeny na uzatvorene siete, vsak v3 sa ani nedala rozumne regulovat na FW(udp + nahodne porty). v4 ma uz aspon staticke porty, ale stale si vyzaduje dedikovanu vlan ak chce mat clovek pod kontrolou security a nechce sa drbat s kerberom.
inac co ma clovek proti sambe? :)
-
NFS bol odjakziva robeny na uzatvorene siete, vsak v3 sa ani nedala rozumne regulovat na FW(udp + nahodne porty). v4 ma uz aspon staticke porty, ale stale si vyzaduje dedikovanu vlan ak chce mat clovek pod kontrolou security a nechce sa drbat s kerberom.
inac co ma clovek proti sambe? :)
U samby jde o to, že uživatel je tam rozdvojená osobnost (user a smbuser), musí se řešit user name a heslo v rámci fstab/autofs, změna hesla uživatele se musí dělat na všech strojích,... Navíc v případě DHCP ještě musí strašit s NetBiosem, ...
Proti tomu SSHFS je triviální - vygeneruješ klíč, přidáš si server do known_hosts (stačí se na zkoušku odpojit a připojit po SSH) a klienta do authorized_keys a je to. Když se proflákne klíč z nějakýho stroje, smažeš přislušný řádek v known_hosts a je vyřešeno. A šifrování by default. A stroj najdu normálně pomocí DNS resolveru. Jenom je to strašná brzda.