Birisi internet üzerinden NFS'yi koklayabilir mi?

27

Ev sunucuma NFS kullanarak işten bağlanmak istiyorum. Sshfs denedim ama bazı insanlar NFS kadar güvenilir olmadığını söylüyor.

Sshfs trafiğinin şifreli olduğunu biliyorum. Peki ya NFS? Birisi trafiğimi koklayıp kopyaladığım dosyaları görebilir mi?

LAN'ımda NFSv4 kullanıyorum ve harika çalışıyor.

security  nfs 
Tomas
kaynak
“Bazı insanlar” kimdir ve tam olarak ne diyorlar?
Gilles 'SO- kötülük'
NFS, blok düzeyinde bir protokoldür ve gecikmeye duyarlıdır. Genellikle UDP ile birlikte kullanılır, bu nedenle güvenlik duvarı sorunlarınız olabilir. TCP ile kullanılabilir. Performansın pek iyi olmayacağını umuyorum.
Keith
Cevaplar için teşekkürler çocuklar. Sanırım ev dışındayken sshfs ile sadık kalacağım, ama lan olduğumda nfs.
Tomas
3
@Keith NFS bir dosya seviyesi protokolüdür. iSCSI, AoE blok seviyesi protokolleridir, ancak NFS değildir.
2
SSHFS gerçekten gitmek yoludur. Hız, yukarı / aşağı internet bağlantınıza ne aldığınıza göre pratiktir, ssh yükü ihmal edilebilir. Şifrelemenin artıları, aynı zamanda genel / özel anahtarların ve ssh-agent'ın kimlik doğrulaması için kullanılması da önemlidir.
Robin van Leeuwen

Yanıtlar:

23

NFSv4'ü kullanıyorsanız sec=krb5pgüvenlidir. (Kimlik doğrulama için Kerberos 5 kullanmak ve bağlantıyı gizlilik için şifrelemek anlamına gelir.) Ancak, NFS v3 veya NFS v4 ile birlikte kullanıyorsanız sys=system, hayır, hiçbir şekilde güvenli olmaz.

Kerberos ve rpc portlarını internette büyük ölçüde ortaya çıkarmak, sadece bilinmeyen güvenlik açıkları durumunda da bazı endişeler olabilir.

mattdm
kaynak
Teşekkürler. Sadece bir şey. Bu seçenek sunucu tarafında yapılandırılmış mı?
Tomas,
1
@Tomas: hem seçeneğe sahip hem sunucu hem de müşteri ile görüşülür. Yalnızca güvenli bağlantılarla sınırlandırmak istiyorsanız, dışa aktarma seçeneklerinde kesinlikle yalnızca sec = krb5p'yi listeleyin.
mattdm
Bazı endişe bir understatement. NF'leri internette Tünel'i kullanmadan geniş ölçüde kullanabilecek kadar delice kim?
Rui F Ribeiro
15

NFS'nin kendisi genellikle güvenli olarak kabul edilmez - @matt'ın önerdiği gibi kerberos seçeneğini kullanmak tek bir seçenektir, ancak NFS kullanmak zorundaysanız en iyi tercihiniz güvenli bir VPN kullanmak ve NFS'yi çalıştırmaktır - bu şekilde en azından güvensiz olanı korumaktasınız. İnternetten dosya sistemi - elbette eğer biri VPN'inizi ihlal ederse etkili bir şekilde açıksınızdır, ancak bu yine de olağan bir senaryo olacaktır.

Rory Alsop
kaynak
3

Bazı insanların kim olduğunu bilmiyorum ama onlarla aynı fikirde değilim. sshfsNFS hızının yaklaşık% 99'udur (test edilmiştir) ve çok daha sağlamdır. sshİnternet trafiğinin lapa lapa doğasını düşmeden ele alma yeteneğini taşır , NFS'de eski dosya tutamaçlarıyla asmanızı sağlar.

Ev dizinimi NYC'deki San Jose'deki kutumun üzerine monte etmek için sshfs kullandım ve 3 gün boyunca sürekli veri hareketi ile uğraşmadan çalıştı.

Deneyin, seveceksiniz.

linuxrebel
kaynak
5
SSHFS'nin bazı önemli dezavantajları vardır. Kafamın üstünden dosya kilitleme desteği yok. Bu, çok kullanıcılı bir ortamda başınızı belaya sokabilir - ancak ana dizininize erişiyorsanız, muhtemelen iyi olacaksınız. SSHFS, lapa lapa ağ bağlantılarına çok toleranslı değildir. Bu, NFS'nin de bağlantısının kesilmesinden hoşlanmadığını söyler ancak uzaktaki dosya sistemini tamamen sökmek zorunda kalmadan iyileşmeyi daha iyi bir hale getirir.
Trevor Johns
2
Hız bağlıdır. OpenWRT'yi Archer C7'de kullanıyorum ve NFS, sshfs'den beş kat daha hızlı.
Sparhawk
2
"Hız değişir. OpenWRT'yi Archer C7'de çalıştırıyorum", çünkü sshfs CPU'ya bağlı, bir dereceye kadar şifreleme CPU'da yapılıyor. Yani, eğer iş istasyonunu iş istasyonuna bağlıyorsanız, sorun olmamalı ... MIPS veya ARM'li yönlendiriciler sorunsuzdur.
telaşlı
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.