Come proteggere NFS in ambienti di client non attendibili

Se capisco come funziona, la sicurezza di NFS si basa sul fatto che i clienti possono essere affidati.

Sono preoccupato per alcuni utenti che accedono a file da altri. Sì, opzione root_squash evita l'utente root dell'utente sui client per accedere ai file, ma se qualcuno ha privilegi di root su qualsiasi client, può accedere a qualsiasi utente e quindi accedere ai file che vogliono.

  • 3 Server, è questo un cluster?
  • È ansible saltare la conferma di rvmrc?
  • XenServer: Modifica della configuration del clone prima dell'avvio
  • Come faccio a corrispondere un file di certificato a un file di chiave?
  • l'impostazione open file descrittore limite.conf non viene letta da ulimit anche quando pam_limits.so è richiesto
  • La goccia di tabella Postgresql prende molto tempo
  • Sto esportndo i file in tutta la networking locale. Sto pensando all'esportzione solo a un gruppo di clienti attendibili – ma probabilmente sarà un dolore da mantenere e solo un problema che ne oscura, il problema persiste se un client di fiducia guadagna l'accesso alla radice.

  • iptables, politica di default rispetto alle regole
  • Gestione cluster di macchine
  • Integrazione di Active Directory, Squid e shaper del traffico (come MikroTik)
  • Eseguire JBoss-5.1.0.GA come servizio / daemon su Red Hat?
  • coda tutti i file di registro in una directory | escludi i file con zip
  • Odd mdadm output: --examine mostra lo stato dell'arrays fallito, --detail mostra tutto pulito
  • One Solution collect form web for “Come proteggere NFS in ambienti di client non attendibili”

    NFS è un buco di sicurezza con accesso ai file – non c'è niente che puoi davvero fare per attenuare questo problema. La cosa migliore che puoi fare è consentire l'esportzione a clienti attendibili come descritto, e facoltativamente utilizzare regole del firewall per impedire che altre persone penetrano e parlano con il tuo server NFS (anche se teoricamente non sarebbero in grado di fare qualunque cosa tu possa inoltre assicurarsi che siano bloccati).

    Se utilizzi esclusivamente NFSv4, puoi cercare Kerberize il tuo ambiente NFS , che offre alcune migliori opzioni di sicurezza in termini di authentication dei client, ma il lavoro di mantenere l'ambiente Kerberos è probabilmente uguale a (o al massimo) mantenere gli elenchi di esportzioni di netgroup. comunque Kerberos, anche se può essere una soluzione migliore per te.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.