Czy ktoś może wąchać NFS przez Internet?

28

Chcę połączyć się z moim domowym serwerem z pracy za pomocą NFS. Próbowałem sshfs, ale niektórzy twierdzą, że nie jest tak niezawodny jak NFS.

Wiem, że ruch sshfs jest szyfrowany. Ale co z NFS? Czy ktoś może obwąchać mój ruch i wyświetlić pliki, które kopiuję?

Używam NFSv4 w mojej sieci LAN i działa świetnie.

security nfs Tomas
źródło
Kim są „niektórzy ludzie” i co dokładnie mówią?
Gilles „SO- przestań być zły”
NFS jest protokołem na poziomie bloku i jest wrażliwy na opóźnienia. Jest zwykle używany z UDP, więc możesz mieć problemy z zaporą ogniową. Może być używany z TCP. Oczekuję, że wydajność nie będzie bardzo dobra.
Keith
Dzięki za odpowiedzi chłopaki. Myślę, że zostanę przy sshfs, kiedy jestem poza domem, ale nfs, kiedy jestem w sieci.
Tomas
3
@Keith NFS to protokół na poziomie plików. iSCSI, AoE to protokoły na poziomie bloku, ale nie NFS.
2
SSHFS jest rzeczywiście właściwą drogą. Szybkość jest praktycznie natywna w stosunku do tego, co uzyskujesz przez swoje połączenie internetowe upstream / downstream, obciążenie ssh jest znikome. Zalety szyfrowania, ale także użycie kluczy publicznych / prywatnych i agenta ssh do uwierzytelnienia są znaczące.
Robin van Leeuwen,

Odpowiedzi:

24

Jeśli używasz NFSv4 z sec=krb5p, jest to bezpieczne. (Oznacza to użycie Kerberos 5 do uwierzytelnienia i szyfrowanie połączenia w celu zachowania prywatności.) Ale jeśli używasz NFS v3 lub NFS v4 z sys=system, to nie, to wcale nie jest bezpieczne.

Mogą pojawić się również obawy związane z udostępnianiem portów Kerberos i rpc w Internecie w ogóle, na wypadek nieznanych luk.

mattdm
źródło
Dzięki. Jeszcze jedna rzecz. Czy ta opcja jest skonfigurowana po stronie serwera?
Tomas
1
@Tomas: jest negocjowany, a serwer i klient mają taką opcję. Jeśli chcesz ograniczyć się tylko do bezpiecznych połączeń, zdecydowanie wypisz tylko sec = krb5p w opcjach eksportu.
mattdm,
Pewne zaniepokojenie to mało powiedziane. Kto jest wystarczająco szalony, aby korzystać z NF w Internecie bez tunelowania go?
Rui F Ribeiro
16

Sam NFS nie jest ogólnie uważany za bezpieczny - użycie opcji kerberos, jak sugeruje @matt, jest jedną z opcji, ale najlepszym rozwiązaniem, jeśli musisz użyć NFS, jest użycie bezpiecznej sieci VPN i uruchomienie NFS w tym celu - w ten sposób przynajmniej ochronisz niepewne system plików z Internetu - oczywiście, jeśli ktoś naruszy twój VPN, jesteś faktycznie szeroko otwarty, ale i tak byłby to zwykły scenariusz.

Rory Alsop
źródło
3

Nie wiem, kim są niektórzy ludzie, ale wcale się z nimi nie zgadzam. sshfsjest około 99% prędkości NFS (testowane) i znacznie bardziej niezawodne. Niesie ze sobą zdolność sshradzenia sobie z niestabilną naturą ruchu internetowego bez upuszczania, że ​​w systemie plików NFS można zawiesić na starych plikach.

Użyłem sshfs do zamontowania mojego katalogu domowego na moim urządzeniu w Nowym Jorku z San Jose i pozostawałem w kontakcie i działałem bez przerwy przez 3 dni bez przerwy.

Spróbuj, spodoba ci się.

linuxrebel
źródło
5
SSHFS ma kilka istotnych wad. Z czubka mojej głowy nie ma obsługi blokowania plików. Może to wpędzić cię w kłopoty w środowisku wielu użytkowników - ale prawdopodobnie nic ci nie będzie, jeśli tylko będziesz uzyskiwać dostęp do katalogu domowego. SSHFS również nie toleruje płatnych połączeń sieciowych. Co nie znaczy, że NFS również lubi być odłączony, ale wydaje się, że lepiej jest go odzyskać bez konieczności całkowitego odmontowywania zdalnego systemu plików.
Trevor Johns
2
Prędkość zależy. Używam OpenWRT na Archerze C7, a NFS jest pięć razy szybszy niż sshfs.
Sparhawk
2
„Prędkość zależy. Używam OpenWRT na Archerze C7”, ponieważ sshfs jest związany z procesorem, do pewnego stopnia szyfrowanie odbywa się na procesorze. Tak więc, jeśli łączysz stację roboczą ze stacją roboczą, powinno być w porządku ... routery z MIPS lub ARM nie są potrzebne.
thecarpy