25 votos

Segura de la Red de sistemas de Ficheros en Linux: ¿Qué son las personas que están haciendo?

NFSv3 es generalizada, pero el modelo de seguridad predeterminado es... pintoresco. CIFS puede utilizar la autenticación Kerberos, pero sin POSIX semántica es un non-starter. AFS nunca hizo cifrar el tráfico en el alambre y se krb4 - y, básicamente, un muerto proyecto. Fantasía experimental de nuevos sistemas de ficheros, o bien, nunca se materializan o se centran en la velocidad (y si tienes suerte, la fiabilidad de los datos) - por ejemplo, Lustre utiliza el mismo cliente-modelo de confianza como NFSv3. Para uso en el hogar, el sshfs es ingeniosa, pero que seguro que no escala.

Y luego, por supuesto, hay NFSv4, con sec=krb5p. Gran en la teoría, pero después de diez años, parece ser troublingly no utilizados en el mundo real. El cliente de Linux tiene justo ahora había experimental etiqueta eliminado. Y si nos fijamos en EMC Celerra, Isilon, etc., todo NFSv3. (Celerra apoya NFSv4, pero es realmente enterrado en la documentación. Isilon al parecer trabajaba en la adición de la RPCGSS apoyo a FreeBSD, así que tal vez llegará, pero no ahora. ) Ni siquiera puedo etiqueta de este post como "nfsv4" porque soy nuevo aquí y que sería una nueva etiqueta.

Así que, realmente. ¿Qué estás haciendo?

13voto

sysadmin1138 Puntos 86362

Usted parece estar haciendo dos preguntas aquí:

¿Qué somos en realidad? y ¿Qué significa esto?

Lo estoy usando en realidad es CIFS, en mi caso de uso POSIX es menos importante, así que no he tenido ningún problema. NFS3 se utiliza en áreas donde la seguridad no es importante, como mi SLES instalar el servidor. Y por último, el sshfs/gvfs de usuario simple-uso compartido de las tierras. Fija el cifrado no se considera necesario, por lo que no es un factor significativo para nosotros.

En cuanto a la otra pregunta, parece ser que seis de los principales requisitos para lo que estás buscando:

  1. Cifra el tráfico en el cable.
  2. Cifra de autenticación.
  3. Posix semántica.
  4. La firme aplicación de servidor basado en la Acl.
  5. No es userland.
  6. Se utiliza realmente.

Sospecho que los puntos 5 y 6 serán los asesinos aquí, pero aquí va (también, este es el punto donde una tabla sería realmente útil, pero las rebajas/StackExchange no lo admite).

NFSv3 + IPSec

  1. Cifrado en el hilo, pasar
  2. No autenticación cifrada, fail
  3. Posix semántica, pasar
  4. No la firme aplicación de servidor basado en la Acl, fail
  5. No es userland, pasar
  6. Se utiliza realmente, pasar

NFSv4 + Krb + IPSec

  1. Cifrado en el hilo, pasar
  2. Autenticación cifrada, pasar
  3. Posix semántica, pasar
  4. La firme aplicación de servidor basado en la Acl, pasar
  5. No es userland, pasar
  6. En realidad, no es utilizado, fail

CIFS

  1. No se cifra en el cable, fail
  2. Autenticación cifrada
  3. Posix semántica, pase (Samba & Kernel ahora, Windows ha tenido un Posix capa ya que el NT días)
  4. La firme aplicación de servidor basado en la Acl, pasar
  5. No es userland, pasar
  6. Se utiliza realmente, pasar

CIFS + IPSec

  1. Cifrado en el hilo, pasar
  2. Autenticación cifrada
  3. Posix semántica, pase (Samba & Kernel ahora)
  4. La firme aplicación de servidor basado en la Acl, pasar
  5. No es userland, pasar
  6. En realidad, no es utilizado, fail

SSHFS

  1. Cifrado en el hilo, pasar
  2. Autenticación cifrada, pasar
  3. Posix semántica, pasar
  4. La firme aplicación de servidor basado en la Acl, pasar
  5. Es userland, fail
  6. Se utiliza realmente, pasar

AFP/NetATalk

  1. Cifrado en el alambre, fail
  2. Autenticación cifrada, pasar
  3. Posix semántica, pasar
  4. La firme aplicación de servidor basado en la Acl, pasar
  5. No es userland, pasar
  6. Se utiliza realmente, fail

Y no te voy a tocar los archivos distribuidos-sistemas de allí. No hay una sola cosa que lo hace todo. Algunos se acercan (CIFS) y algunos ya están ahí, pero nadie los usa (NFS4 + IPSec, CIFS+IPSec). Por alguna razón, una red de seguridad del sistema de ficheros es algo que ha sido sometido a un montón de compromisos a través de los años.

5voto

Marjolein Puntos 11

Ya que es una pregunta específica (¿Qué estás haciendo), vamos a responder es: nada. La mayoría de los administradores y los usuarios sólo no se preocupe acerca de la seguridad NFS, por lo que todo el mundo utiliza NFSv3. Es típicamente un ambiente controlado (en el sentido de que sólo conocido máquinas puede conectar a la red en el primer lugar). Si alguien es sorprendido abusando de la infraestructura, que sea despedido o a la cárcel.

Para los datos que usted realmente no quiere que nadie sea capaz de leer, cifrar de forma explícita, por ejemplo, Firefox contraseña de las bases de datos, las claves ssh, o de claves pgp. Hacen eso porque saben que el admin se podía leer en el servidor de archivos, por lo que la red de seguridad del sistema de archivos no sería de ninguna ayuda, de todos modos.

3voto

stevegt Puntos 211

He estado usando openafs años en producción, con Linux y los clientes de Windows. Funciona muy bien, tiene una activa comunidad de desarrollo, y se ha vuelto mucho más fácil de instalar y administrar en los últimos años como las diversas distribuciones de linux han incluido el embalaje. Tiene sus verrugas, pero he encontrado que son compensados por la mayor flexibilidad administrativa, la posibilidad de tener clientes y servidores separados por vínculos lentos, la facilidad de copias de seguridad externas, y otros positivos AFSisms.

Una cosa que me gusta en particular es la producción servidores web para internet en openafs, con el Acl bloqueado. Sin un ticket de kerberos que no hay ningún proceso en la máquina, incluso uno que se ejecuta como root -- que puede escribir en el sistema de ficheros. No puedo contar cuántas veces nos hemos dado cuenta de los ataques inútiles debido a que la simple medida.

Hay algunos bastante grandes openafs los usuarios, el mayor usuario comercial que conozco es de Morgan Stanley.

1voto

Rob Olmos Puntos 1702

¿OpenAFS que todavía está vivo y un VPN debajo de él porque su único cifrado en el momento en que se DES.

1voto

Kirill Osenkov Puntos 3902

Veo que un montón de gente en este hilo están hablando de ocultar datos, es decir, los ataques no ser capaz de espiar a sus datos. Una igualmente importante pensar acerca de la integridad de los datos y la autenticidad. Son los nfs de paquetes desde el servidor de nfs? Hizo un paquete nfs obtener cambiado en tránsito?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: