Kann jemand NFS über das Internet schnüffeln?

27

Ich möchte von der Arbeit mit NFS eine Verbindung zu meinem Heimserver herstellen. Ich habe sshfs ausprobiert, aber einige Leute sagen, es sei nicht so zuverlässig wie NFS.

Ich weiß, dass der sshfs-Verkehr verschlüsselt ist. Aber was ist mit NFS? Kann jemand meinen Datenverkehr abhören und die Dateien anzeigen, die ich kopiere?

Ich verwende NFSv4 in meinem LAN und es funktioniert großartig.

security nfs Tomas
quelle
Wer sind die "einigen Leute" und was genau sagen sie?
Gilles 'SO- hör auf böse zu sein'
NFS ist ein Protokoll auf Blockebene und reagiert empfindlich auf Latenz. Es wird normalerweise mit UDP verwendet, sodass möglicherweise Probleme mit der Firewall auftreten. Es kann mit TCP verwendet werden. Ich gehe davon aus, dass die Leistung nicht sehr gut sein wird.
Keith
Danke für die Antworten Jungs. Ich denke, ich bleibe bei sshfs, wenn ich nicht zu Hause bin, aber nfs, wenn ich in der Lan bin.
Tomas
3
@Keith NFS ist ein Protokoll auf Dateiebene. iSCSI und AoE sind Protokolle auf Blockebene, jedoch nicht NFS.
2
SSHFS ist in der Tat der richtige Weg. Die Geschwindigkeit hängt praktisch von der Geschwindigkeit ab, die Sie über Ihre Internetverbindung (Upstream / Downstream) erhalten. Der Overhead von ssh ist vernachlässigbar gering. Und die Vorteile der Verschlüsselung, aber auch die Verwendung von öffentlichen / privaten Schlüsseln und ssh-agent zur Authentifizierung sind von Bedeutung.
Robin van Leeuwen

Antworten:

23

Wenn Sie NFSv4 mit verwenden sec=krb5p, ist es sicher. (Das bedeutet, dass Sie Kerberos 5 für die Authentifizierung verwenden und die Verbindung aus Datenschutzgründen verschlüsseln.) Wenn Sie jedoch NFS v3 oder NFS v4 mit verwenden sys=system, ist dies überhaupt nicht sicher.

Es könnte auch Bedenken geben, die Kerberos- und RPC-Ports im Allgemeinen dem Internet auszusetzen, nur für den Fall, dass unbekannte Sicherheitslücken bestehen.

mattdm
quelle
Vielen Dank. Nur eine Sache. Ist diese Option auf der Serverseite konfiguriert?
Tomas
1
@Tomas: Wird ausgehandelt, wobei Server und Client die Option haben. Wenn Sie sich nur auf sichere Verbindungen beschränken möchten, listen Sie auf jeden Fall nur sec = krb5p in den Exportoptionen auf.
Mattdm
Einige Bedenken sind eine Untertreibung. Wer ist verrückt genug, um NFs im Internet zu nutzen, ohne sie zu tunneln?
Rui F Ribeiro
15

NFS selbst wird im Allgemeinen nicht als sicher angesehen. Die Verwendung der Kerberos-Option, wie von @matt vorgeschlagen, ist eine Option. Wenn Sie jedoch NFS verwenden müssen, sollten Sie ein sicheres VPN verwenden und NFS darüber ausführen. Auf diese Weise schützen Sie zumindest die Unsicheren Dateisystem aus dem Internet - natürlich, wenn jemand Ihr VPN verletzt, sind Sie effektiv weit offen, aber das wäre sowieso das übliche Szenario.

Rory Alsop
quelle
3

Ich weiß nicht, wer einige Leute sind, aber ich stimme ihnen überhaupt nicht zu. sshfsist etwa 99% der Geschwindigkeit von NFS (getestet) und viel robuster. Es bringt die Fähigkeit mit sich ssh, die Flakigkeit des Internet-Datenverkehrs zu bewältigen, ohne dass es abfällt, was bei NFS der Fall wäre, wenn Sie mit veralteten Datei-Handles hängen würden.

Ich habe sshfs verwendet, um mein Home-Verzeichnis auf meiner Box in NYC von San Jose aus zu mounten, und bin 3 Tage lang in Verbindung geblieben und habe ununterbrochen Daten übertragen, ohne dass es zu Problemen gekommen wäre.

Probieren Sie es aus, es wird Ihnen gefallen.

linuxrebel
quelle
5
SSHFS hat einige wichtige Nachteile. Ich habe keine Ahnung, dass das Sperren von Dateien nicht unterstützt wird. Dies kann in einer Mehrbenutzerumgebung zu Problemen führen - obwohl Sie wahrscheinlich in Ordnung sind, wenn Sie nur auf Ihr Basisverzeichnis zugreifen. SSHFS ist auch nicht sehr tolerant gegenüber Flakey-Netzwerkverbindungen. Was nicht heißt, dass NFS auch gerne getrennt wird, aber besser in der Lage zu sein scheint, wiederherzustellen, ohne das Remote-Dateisystem vollständig aushängen zu müssen.
Trevor Johns
2
Die Geschwindigkeit ist abhängig. Ich verwende OpenWRT auf einem Archer C7 und NFS ist fünfmal schneller als sshfs.
Sparhawk
2
"Die Geschwindigkeit hängt davon ab. Ich verwende OpenWRT auf einem Archer C7." Wenn Sie also eine Workstation mit einer Workstation verbinden, sollte dies in Ordnung sein. Router mit MIPS oder ARM sind kein Problem.
Thecarpy