Come proteggere NFS in ambienti di client non attendibili

Se capisco come funziona, la sicurezza di NFS si basa sul fatto che i clienti possono essere affidati.

Sono preoccupato per alcuni utenti che accedono a file da altri. Sì, opzione root_squash evita l'utente root dell'utente sui client per accedere ai file, ma se qualcuno ha privilegi di root su qualsiasi client, può accedere a qualsiasi utente e quindi accedere ai file che vogliono.

Sto esportndo i file in tutta la networking locale. Sto pensando all'esportzione solo a un gruppo di clienti attendibili – ma probabilmente sarà un dolore da mantenere e solo un problema che ne oscura, il problema persiste se un client di fiducia guadagna l'accesso alla radice.

  • Server SMTP Postfix su Ubuntu
  • Postfix non invia messaggi di posta elettronica dopo l'aggiornamento a Ubuntu 12.04
  • Come assegnare più indirizzi IP pubblici
  • Ubuntu carica i picchi medi, ma le CPU sono inattive
  • systemd redis.service non permetterà le connessioni socket unix?
  • Come trasferire / casa a un nuovo hdd?
  • Esposizione di una casella privata del server web su Internet
  • Ubuntu e Avaya Phones
  • One Solution collect form web for “Come proteggere NFS in ambienti di client non attendibili”

    NFS è un buco di sicurezza con accesso ai file – non c'è niente che puoi davvero fare per attenuare questo problema. La cosa migliore che puoi fare è consentire l'esportzione a clienti attendibili come descritto, e facoltativamente utilizzare regole del firewall per impedire che altre persone penetrano e parlano con il tuo server NFS (anche se teoricamente non sarebbero in grado di fare qualunque cosa tu possa inoltre assicurarsi che siano bloccati).

    Se utilizzi esclusivamente NFSv4, puoi cercare Kerberize il tuo ambiente NFS , che offre alcune migliori opzioni di sicurezza in termini di authentication dei client, ma il lavoro di mantenere l'ambiente Kerberos è probabilmente uguale a (o al massimo) mantenere gli elenchi di esportzioni di netgroup. comunque Kerberos, anche se può essere una soluzione migliore per te.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.