Qualcuno può annusare NFS su Internet?


28

Voglio collegarmi al mio server di casa dal lavoro usando NFS. Ho provato sshfs ma alcune persone dicono che non è affidabile come NFS.

So che il traffico sshfs è crittografato. Ma che dire di NFS? Qualcuno può annusare il mio traffico e visualizzare i file che sto copiando?

Sto usando NFSv4 nella mia LAN e funziona benissimo.


Chi sono le "alcune persone" e cosa dicono esattamente?
Gilles 'SO- smetti di essere malvagio'

NFS è un protocollo a livello di blocco ed è sensibile alla latenza. Di solito viene utilizzato con UDP, quindi potresti avere problemi con il firewall. Può essere utilizzato con TCP. Mi aspetto che le prestazioni non saranno molto buone.
Keith

Grazie per la risposta ragazzi. Penso che rimarrò con sshfs quando sono fuori casa, ma nfs quando sono nella lan.
Tomas,

3
@Keith NFS è un protocollo a livello di file. iSCSI, AoE sono protocolli a livello di blocco, ma non NFS.

2
SSHFS è davvero la strada da percorrere. La velocità è praticamente originaria di ciò che ottieni sulla tua connessione Internet upstream / downstream, l'overhead di ssh è trascurabile. E i vantaggi della crittografia, ma anche l'uso di chiavi pubbliche / private e ssh-agent per l'autenticazione sono significativi.
Robin van Leeuwen,

Risposte:


24

Se usi NFSv4 con sec=krb5p, allora è sicuro. (Ciò significa che utilizzare Kerberos 5 per l'autenticazione e crittografare la connessione per la privacy.) Se si utilizza NFS v3 o NFS v4 con sys=system, quindi no, non è affatto sicuro.

Potrebbe esserci anche qualche preoccupazione nell'esporre le porte kerberos e rpc a Internet in generale, nel caso di vulnerabilità sconosciute.


Grazie. Solo una cosa. Quell'opzione è configurata sul lato server?
Tomas,

1
@Tomas: viene negoziato, con il server e il client che hanno entrambi l'opzione. Se vuoi limitare solo a connessioni sicure, allora elenca sicuramente solo sec = krb5p sulle opzioni di esportazione.
mattdm,

Qualche preoccupazione è un eufemismo. Chi è abbastanza pazzo da usare le NF in Internet senza scavarle nel tunnel?
Rui F Ribeiro,

16

Lo stesso NFS non è generalmente considerato sicuro - usare l'opzione kerberos come suggerisce @matt è un'opzione, ma la soluzione migliore se devi usare NFS è usare una VPN sicura ed eseguire NFS su quello - in questo modo almeno proteggi l'insicuro filesystem da Internet - ovviamente se qualcuno viola la tua VPN sei effettivamente spalancato, ma sarebbe comunque il solito scenario.


3

Non so chi siano alcune persone, ma non sono affatto d'accordo con loro. sshfsè circa il 99% della velocità di NFS (testato) e molto più robusto. Porta con sé la capacità di sshgestire la natura traballante del traffico Internet senza cadere, che su NFS ti farebbe appendere con handle di file non aggiornati.

Ho usato sshfs per montare la mia directory home sul mio box a New York da San Jose e sono rimasta connessa e lavorando per 3 giorni di movimento continuo di dati senza problemi.

Provalo, ti piacerà.


5
SSHFS ha alcuni aspetti negativi importanti. In cima alla mia testa, non c'è supporto per il blocco dei file. Questo può metterti nei guai in un ambiente multiutente, anche se probabilmente starai bene se accedi alla tua home directory. Anche SSHFS non tollera molto bene le connessioni di rete flakey. Il che non vuol dire che a NFS piaccia anche essere disconnesso, ma sembra meglio in grado di recuperare senza dover smontare completamente il filesystem remoto.
Trevor Johns,

2
La velocità dipende Sto eseguendo OpenWRT su un Archer C7 e NFS è cinque volte più veloce di sshfs.
Sparhawk,

2
"La velocità dipende. Sto eseguendo OpenWRT su un Archer C7" perché sshfs è associato alla CPU, in una certa misura, la crittografia viene eseguita sulla CPU. Quindi, se si sta collegando una workstation a una workstation, dovrebbe andare bene ... i router con MIPS o ARM non vanno più.
thararpy,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.