Alguém pode cheirar NFS pela Internet?

27

Quero me conectar ao meu servidor doméstico do trabalho usando o NFS. Eu tentei o sshfs, mas algumas pessoas dizem que não é tão confiável quanto o NFS.

Eu sei que o tráfego sshfs está criptografado. Mas e o NFS? Alguém pode cheirar meu tráfego e visualizar os arquivos que estou copiando?

Estou usando o NFSv4 na minha LAN e funciona muito bem.

security nfs Tomas
fonte
Quem são as "algumas pessoas" e o que exatamente elas dizem?
Gilles 'SO- stop be evil'
O NFS é um protocolo em nível de bloco e é sensível à latência. Geralmente é usado com o UDP, para que você possa ter problemas de firewall. Pode ser usado com o TCP. Espero que o desempenho não seja muito bom.
Keith
Obrigado pelas respostas pessoal. Acho que vou ficar com sshfs quando estiver fora de casa, mas nfs quando estiver na lan.
Tomas
3
@Keith NFS é um protocolo no nível do arquivo. iSCSI, AoE são protocolos em nível de bloco, mas não NFS.
2
SSHFS é realmente o caminho a percorrer. A velocidade é praticamente nativa do que você obtém na sua conexão de Internet upstream / downstream, a sobrecarga do ssh é insignificante. E os profissionais de criptografia, mas também o uso de chaves públicas / privadas e o ssh-agent para autenticação, são significativos.
Robin van Leeuwen

Respostas:

23

Se você usa o NFSv4 sec=krb5p, ele é seguro. (Isso significa usar o Kerberos 5 para autenticação e criptografar a conexão para sys=systemgarantir a privacidade.) Mas se você usa o NFS v3 ou o NFS v4 com , então não, não é seguro.

Também pode haver alguma preocupação em expor as portas kerberos e rpc à Internet em geral, apenas no caso de vulnerabilidades desconhecidas.

mattdm
fonte
Obrigado. Só uma coisa. Essa opção está configurada no lado do servidor?
Tomas
11
@ Tomas: é negociado, com o servidor e o cliente tendo a opção. Se você deseja limitar apenas as conexões seguras, definitivamente liste apenas sec = krb5p nas opções de exportação.
mattdm
Alguma preocupação é um eufemismo. Quem é louco o suficiente para usar NFs na Internet em geral, sem túneis?
Rui F Ribeiro
15

O NFS em si geralmente não é considerado seguro - usar a opção kerberos, como sugere @matt, é uma opção, mas sua melhor aposta, se você precisar usar o NFS, é usar uma VPN segura e executar o NFS sobre isso - dessa maneira, pelo menos, protege os inseguros sistema de arquivos da Internet - é claro que se alguém violar sua VPN, você estará efetivamente aberto, mas de qualquer maneira esse seria o cenário usual.

Rory Alsop
fonte
3

Não sei quem são algumas pessoas, mas não concordo com elas. sshfsé cerca de 99% da velocidade do NFS (testado) e muito mais robusto. Ele traz consigo a capacidade de sshlidar com a natureza esquisita do tráfego da Internet sem cair, que no NFS você teria que lidar com identificadores de arquivos obsoletos.

Eu usei o sshfs para montar meu diretório pessoal na minha caixa em Nova York, em San Jose, e fiquei conectado e trabalhando por 3 dias com a movimentação contínua de dados sem problemas.

Experimente, você vai gostar.

linuxrebel
fonte
5
O SSHFS tem algumas desvantagens importantes. Em cima da minha cabeça, não há suporte para bloqueio de arquivos. Isso pode causar problemas em um ambiente multiusuário - embora você provavelmente esteja bem se apenas estiver acessando seu diretório pessoal. O SSHFS também não tolera muito as conexões de rede flakey. O que não quer dizer que o NFS também goste de ser desconectado, mas parece mais capaz de se recuperar sem precisar desmontar completamente o sistema de arquivos remoto.
Trevor Johns
2
A velocidade depende. Estou executando o OpenWRT em um Archer C7 e o NFS é cinco vezes mais rápido que o sshfs.
Sparhawk #
2
"A velocidade depende. Estou executando o OpenWRT em um Archer C7", porque o sshfs é vinculado à CPU, até certo ponto, a criptografia é feita na CPU. Portanto, se você estiver conectando uma estação de trabalho à estação de trabalho, tudo ficará bem ... os roteadores com MIPS ou ARM não podem ser utilizados.
Thecarpy