Come proteggere NFS in ambienti di client non attendibili

Se capisco come funziona, la sicurezza di NFS si basa sul fatto che i clienti possono essere affidati.

Sono preoccupato per alcuni utenti che accedono a file da altri. Sì, opzione root_squash evita l'utente root dell'utente sui client per accedere ai file, ma se qualcuno ha privilegi di root su qualsiasi client, può accedere a qualsiasi utente e quindi accedere ai file che vogliono.

  • Semplice strumento per misurare l'utilizzo della memory?
  • I simboli weird sempre visualizzati in row di command (putty / zsh)
  • Installare openssl-dev sul server Ubuntu
  • Come recuperare da un fsck fallito?
  • Come aumentare lo spazio di swap su un server live
  • Password Management System per più SysAdmins?
  • Sto esportndo i file in tutta la networking locale. Sto pensando all'esportzione solo a un gruppo di clienti attendibili – ma probabilmente sarà un dolore da mantenere e solo un problema che ne oscura, il problema persiste se un client di fiducia guadagna l'accesso alla radice.

  • Sistema di file distribuito con la cache del disco locale
  • Cercando di capire il modo corretto di creare una rotta statica in CentOS, ti preghiamo di aiutare
  • init script non viene installato in /etc/init.d
  • Aumenta ulimit del file per il demone asterisco
  • le installazioni automatizzate contro l'image di unità
  • come posso limitare la width di banda per utente?
  • One Solution collect form web for “Come proteggere NFS in ambienti di client non attendibili”

    NFS è un buco di sicurezza con accesso ai file – non c'è niente che puoi davvero fare per attenuare questo problema. La cosa migliore che puoi fare è consentire l'esportzione a clienti attendibili come descritto, e facoltativamente utilizzare regole del firewall per impedire che altre persone penetrano e parlano con il tuo server NFS (anche se teoricamente non sarebbero in grado di fare qualunque cosa tu possa inoltre assicurarsi che siano bloccati).

    Se utilizzi esclusivamente NFSv4, puoi cercare Kerberize il tuo ambiente NFS , che offre alcune migliori opzioni di sicurezza in termini di authentication dei client, ma il lavoro di mantenere l'ambiente Kerberos è probabilmente uguale a (o al massimo) mantenere gli elenchi di esportzioni di netgroup. comunque Kerberos, anche se può essere una soluzione migliore per te.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.