NFSv3 ist weit verbreitet, aber das Standardsicherheitsmodell ist ... kurios . CIFS kann die Kerberos-Authentifizierung verwenden, ist jedoch ohne POSIX-Semantik kein Starter. AFS hat den Datenverkehr auf dem Kabel nie verschlüsselt und ist krb4 - und im Grunde ein totes Projekt. Ausgefallene neue experimentelle Dateisysteme entstehen entweder nie oder sie konzentrieren sich auf die Geschwindigkeit (und wenn Sie Glück haben, auf die Zuverlässigkeit der Daten). Beispielsweise verwendet Lustre dasselbe Client-Vertrauensmodell wie NFSv3. Für den Heimgebrauch ist sshfs praktisch, aber das lässt sich nicht skalieren.
Und dann gibt es natürlich NFSv4 mit sec = krb5p. Theoretisch großartig, aber nach zehn Jahren scheint es in der realen Welt beunruhigend unbenutzt zu sein. Der Linux-Client hat gerade das experimentelle Tag entfernt. Und wenn Sie sich EMC Celerra, Isilon usw. ansehen, ist alles NFSv3. (Celerra unterstützt NFSv4, aber es ist wirklich in der Dokumentation vergraben. Isilon hat anscheinend daran gearbeitet, die RPCGSS-Unterstützung zu FreeBSD hinzuzufügen, also kommt sie vielleicht, aber jetzt ist sie nicht da.) Ich kann diesen Beitrag nicht einmal als "nfsv4" markieren, weil ich bin neu hier und das wäre ein neuer tag .
Also wirklich . Was macht ihr alle?
Antworten:
Da es sich um eine bestimmte Frage handelt (Was macht ihr alle?), Lasst es uns beantworten: Nichts. Die meisten Administratoren und Benutzer sorgen sich nicht um die NFS-Sicherheit, daher verwendet jeder NFSv3. In der Regel handelt es sich um eine kontrollierte Umgebung (in dem Sinne, dass nur bekannte Computer eine Verbindung zum Netzwerk herstellen können). Wenn jemand erwischt wird, wie er die Infrastruktur missbraucht, wird er gefeuert oder ins Gefängnis gesteckt.
Daten, die wirklich von niemandem gelesen werden sollen, verschlüsseln Sie explizit, z. B. Firefox-Kennwortdatenbanken, SSH-Schlüssel oder PGP-Schlüssel. Sie tun dies, weil Sie wissen, dass der Administrator sie auf dem Dateiserver lesen kann, sodass die Sicherheit des Netzwerk-Dateisystems sowieso keine Hilfe darstellt.
quelle
Sie scheinen hier zwei Fragen zu stellen:
Was verwenden wir eigentlich? und was macht das
Was ich tatsächlich benutze, ist CIFS. In meinen Anwendungsfällen ist POSIX weniger wichtig, sodass ich keine Probleme hatte. NFS3 wird in Bereichen verwendet, in denen die Sicherheit nicht wichtig ist, z. B. auf meinem SLES-Installationsserver. Und schließlich sshfs / gvfs für einfaches User-Land-Sharing. Wireline-Verschlüsselung wird nicht als erforderlich erachtet, daher ist dies für uns kein wichtiger Faktor.
Was die andere Frage betrifft, scheint es sechs Hauptanforderungen für das zu geben, wonach Sie suchen:
Ich vermute, dass die Punkte 5 und 6 hier die Killer sind, aber hier ist es auch (auch das ist der Punkt, an dem ein Tisch wirklich praktisch wäre, aber markdown / StackExchange unterstützt es nicht).
NFSv3 + IPSec
NFSv4 + Krb + IPSec
CIFS
CIFS + IPSec
SSHFS
AFP / NetATalk
Und ich rühre die verteilten Dateisysteme da draußen nicht an. Es gibt einfach keine einzige Sache, die alles macht. Einige kommen näher (CIFS) und andere sind bereits vorhanden, aber niemand verwendet sie (NFS4 + IPSec, CIFS + IPSec). Aus irgendeinem Grund ist ein sicheres Netzwerk-Dateisystem im Laufe der Jahre vielen Kompromissen unterworfen.
quelle
Ich benutze openafs seit Jahren in der Produktion, sowohl mit Linux- als auch mit Windows-Clients. Es funktioniert großartig, hat eine aktive Entwickler-Community und ist in den letzten Jahren viel einfacher zu installieren und zu verwalten geworden, da die verschiedenen Linux-Distributionen die entsprechenden Pakete enthalten. Es hat seine Warzen, aber ich habe festgestellt, dass sie durch mehr administrative Flexibilität, die Möglichkeit, Clients und Server durch langsame Verbindungen voneinander zu trennen, die Leichtigkeit von Offsite-Backups und andere positive AFSismen ausgeglichen werden.
Eine Sache, die ich besonders mag, ist die Ausführung von mit dem Internet verbundenen Produktions-Webservern auf openafs, wobei die ACLs gesperrt sind. Ohne ein Kerberos-Ticket gibt es keinen Prozess auf dem Computer - auch keinen, der als Root ausgeführt wird - der in das Dateisystem schreiben kann. Ich kann nicht zählen, wie oft wir aufgrund dieser einfachen Maßnahme bemerkt haben, dass Angriffe völlig fehlschlagen.
Es gibt einige ziemlich große openafs-Benutzer - der größte kommerzielle Benutzer, den ich kenne, ist Morgan Stanley.
quelle
Wie wäre es mit OpenAFS, das noch am Leben ist und ein VPN unter sich hat, weil die einzige Verschlüsselung im Moment DES ist.
quelle
Ich sehe, dass viele Leute in diesem Thread über das Verbergen von Daten sprechen, dh Angriffe, die nicht in der Lage sind, Ihre Daten abzuspionieren. Ebenso wichtig ist es, über Datenintegrität und -authentizität nachzudenken. Sind diese NFS-Pakete wirklich von Ihrem NFS-Server? Wurde ein nfs-Paket während der Übertragung geändert?
quelle
Nun, für mich klingt es so, als ob eines dieser verteilten Dateisysteme für Sie geeignet wäre. Ich würde OpenAFS nicht wirklich empfehlen wollen, da es alt ist und noch kein IPv6 unterstützt.
Ich bin sehr zufrieden mit GlusterFS . Gluster ist ziemlich ausgereift, funktioniert gut und hat ein gutes Feature-Set. Wie kürzlich im IRC besprochen, unterstützt Gluster auch IPv6 nicht in stabiler Weise. Diese Funktion ist für 3.6 oder 3.7 geplant.
Es gibt auch ein Projekt namens HekaFS, das auf Gluster aufbaut und erweiterte Authentifizierungsfunktionen und SSL hinzufügt. Es ist imo sehr gut dokumentiert und sehr gut gestaltet.
Was Sie vielleicht auch interessieren könnte, ist XtreemFS , das für globales Grid-Computing ausgelegt ist, also standardmäßig mit SSL und so weiter. Meine Wahl fiel jedoch auf Gluster, da die Community aktiver zu sein scheint und dies viel besser dokumentiert ist.
Beide sind natürlich posix-konform.
quelle
Ich benutze NFS. Server-zu-Server-NFS wird jedoch über ein dediziertes Netzwerk-Backbone durchgeführt, sodass keine Verschlüsselung erforderlich ist und die Authentifizierung irgendwie sinnlos ist. Stellen Sie einfach jeden Export so ein, dass nur ein ausgewähltes Verzeichnis für einen Server freigegeben wird, der auf IP basiert.
quelle
Bei allem Respekt sehen Sie dieses Problem völlig falsch und sollten sich für ein paar Stunden von der Konsole entfernen.
Nahezu der gesamte Speicher ist unverschlüsselt, da dies auf dieser Ebene des Abstraktionsstapels keine Rolle spielt. Bezweifel es? Wenn Sie auf Ihren Brokat-Glasfaserschalter tippen, werden Sie feststellen, dass der Glasfaserkanal genau wie iscsi und nfs von Natur aus ein unverschlüsseltes Durcheinander ist. Das ist ein mittleres Problem, kein Speicherprotokollproblem. Möchten Sie beispielsweise sicheres und verschlüsseltes NFS? Erstellt ein LAN, das Punkt-zu-Punkt zwischen dem NFS-Client und dem Server mithilfe von ipsec / ssl / tls oder einer reinen Hardwarelösung verschlüsselt ist.
quelle