Bisakah seseorang mengendus NFS melalui internet?

27

Saya ingin terhubung ke server rumah saya dari kantor menggunakan NFS. Saya mencoba sshfs tetapi beberapa orang mengatakan itu tidak dapat diandalkan seperti NFS.

Saya tahu lalu lintas sshfs dienkripsi. Tapi bagaimana dengan NFS? Dapatkah seseorang mengendus traffic saya dan melihat file yang saya salin?

Saya menggunakan NFSv4 di LAN saya dan berfungsi dengan baik.

security nfs Tomas
sumber
Siapa "beberapa orang", dan apa sebenarnya yang mereka katakan?
Gilles 'SANGAT berhenti menjadi jahat'
NFS adalah protokol tingkat blok dan peka terhadap latensi. Ini biasanya digunakan dengan UDP sehingga Anda mungkin memiliki masalah firewall. Itu dapat digunakan dengan TCP. Saya berharap kinerja tidak akan terlalu baik.
Keith
Terima kasih atas jawabannya kawan. Saya pikir saya akan tetap dengan sshfs ketika di luar rumah, tetapi nfs ketika saya berada di lan.
Tomas
3
@Keith NFS adalah protokol tingkat file. iSCSI, AoE adalah protokol tingkat blok, tetapi bukan NFS.
2
SSHFS memang cara untuk pergi. Kecepatannya praktis asli dari apa yang Anda dapatkan di koneksi internet hulu / hilir, biaya overhead ssh dapat diabaikan. Dan kelebihan dari enkripsi tetapi juga penggunaan kunci publik / pribadi dan ssh-agent untuk otentikasi sangat penting.
Robin van Leeuwen

Jawaban:

23

Jika Anda menggunakan NFSv4 dengan sec=krb5p, maka itu aman. (Itu berarti menggunakan Kerberos 5 untuk otentikasi, dan mengenkripsi koneksi untuk privasi.) Tetapi jika Anda menggunakan NFS v3 atau NFS v4 dengan sys=system, maka tidak, itu sama sekali tidak aman.

Mungkin juga ada beberapa kekhawatiran dengan mengekspos kerberos dan port rpc ke internet pada umumnya, kalau-kalau ada kerentanan yang tidak diketahui.

mattdm
sumber
Terima kasih. Hanya satu hal. Apakah opsi itu dikonfigurasi di sisi server?
Tomas
1
@ Thomas: itu dinegosiasikan, dengan server dan klien keduanya memiliki opsi. Jika Anda ingin membatasi hanya koneksi aman, maka hanya daftar sec = krb5p pada opsi ekspor.
mattdm
Beberapa kekhawatiran meremehkan. Siapa yang cukup gila untuk menggunakan NF di Internet pada umumnya tanpa membuat terowongan?
Rui F Ribeiro
15

NFS sendiri umumnya tidak dianggap aman - menggunakan opsi kerberos seperti yang disarankan @matt adalah salah satu opsi, tetapi taruhan terbaik Anda jika Anda harus menggunakan NFS adalah menggunakan VPN yang aman dan menjalankan NFS di atas itu - dengan cara ini Anda setidaknya melindungi ketidakamanan tersebut. filesystem dari Internet - tentu saja jika seseorang melanggar VPN Anda, Anda secara terbuka lebar, tetapi itu akan tetap menjadi skenario biasa.

Rory Alsop
sumber
3

Saya tidak tahu siapa beberapa orang, tetapi saya sama sekali tidak setuju dengan mereka. sshfsadalah sekitar 99% dari kecepatan NFS (diuji) dan jauh lebih kuat. Ini disertai dengan kemampuan sshuntuk menangani sifat lalu lintas internet yang rapuh tanpa menjatuhkan, bahwa pada NFS Anda harus menggantung dengan gagang file basi.

Saya telah menggunakan sshfs untuk memasang direktori rumah saya di kotak saya di NYC dari San Jose dan tetap terhubung dan bekerja selama 3 hari pergerakan data terus menerus tanpa cegukan.

Cobalah, Anda akan menyukainya.

linuxrebel
sumber
5
SSHFS memang memiliki beberapa kelemahan penting. Dari atas kepala saya, tidak ada dukungan untuk penguncian file. Ini dapat membuat Anda mendapat masalah di lingkungan multi-pengguna - meskipun Anda mungkin akan baik-baik saja jika hanya mengakses direktori home Anda. SSHFS juga tidak terlalu toleran terhadap koneksi jaringan yang flakey. Yang tidak mengatakan NFS suka terputus baik, tetapi tampaknya lebih baik dapat pulih tanpa harus sepenuhnya meng-unmount sistem file jarak jauh.
Trevor Johns
2
Kecepatannya tergantung. Saya menjalankan OpenWRT pada Archer C7, dan NFS lima kali lebih cepat dari sshfs.
Sparhawk
2
"Kecepatannya tergantung. Saya menjalankan OpenWRT pada Archer C7" itu karena sshfs terikat dengan CPU, sampai batas tertentu, enkripsi dilakukan pada CPU. Jadi, jika Anda menghubungkan workstation ke workstation, itu harusnya baik-baik saja ... router dengan MIPS atau ARM tidak perlu digunakan lagi.
thecarpy