Quelqu'un peut-il renifler NFS sur Internet?

28

Je veux me connecter à mon serveur domestique à partir du travail en utilisant NFS. J'ai essayé sshfs mais certaines personnes disent que ce n'est pas aussi fiable que NFS.

Je sais que le trafic sshfs est crypté. Mais qu'en est-il de NFS? Quelqu'un peut-il flairer mon trafic et afficher les fichiers que je copie?

J'utilise NFSv4 dans mon réseau local et cela fonctionne très bien.

security nfs Tomas
la source
Qui sont «certaines personnes» et que disent-elles exactement?
Gilles 'SO- arrête d'être méchant'
NFS est un protocole de niveau bloc et est sensible à la latence. Il est généralement utilisé avec UDP, vous pouvez donc rencontrer des problèmes de pare-feu. Il peut être utilisé avec TCP. Je pense que les performances ne seront pas très bonnes.
Keith
Merci pour les réponses les gars. Je pense que je vais rester avec sshfs quand je suis dehors, mais avec nfs quand je suis dans le lan.
Tomas
3
@Keith NFS est un protocole de niveau fichier. iSCSI, AoE sont des protocoles de niveau bloc, mais pas NFS.
2
SSHFS est en effet la voie à suivre. La vitesse est pratiquement native de ce que vous obtenez sur votre connexion Internet en amont / en aval, la surcharge de ssh est négligeable. Et les avantages du chiffrement, mais aussi de l'utilisation de clés publiques / privées et de l'agent ssh pour l'authentification sont importants.
Robin van Leeuwen

Réponses:

24

Si vous utilisez NFSv4 avec sec=krb5p, il est sécurisé. (Cela signifie utiliser Kerberos 5 pour l'authentification et crypter la connexion pour la confidentialité.) Mais si vous utilisez NFS v3 ou NFS v4 avec sys=system, alors non, ce n'est pas du tout sécurisé.

Il pourrait également être préoccupant d'exposer les ports Kerberos et RPC à Internet dans son ensemble, juste en cas de vulnérabilités inconnues.

mattdm
la source
Merci. Juste une chose. Cette option est-elle configurée côté serveur?
Tomas
1
@Tomas: il est négocié, le serveur et le client ayant tous deux l'option. Si vous souhaitez vous limiter aux seules connexions sécurisées, alors indiquez uniquement sec = krb5p dans les options d'exportation.
mattdm
Une certaine inquiétude est un euphémisme. Qui est assez fou pour utiliser les NF dans Internet en général sans le tunneler?
Rui F Ribeiro
16

NFS lui-même n'est généralement pas considéré comme sécurisé - l'utilisation de l'option kerberos comme @matt le suggère est une option, mais votre meilleur pari si vous devez utiliser NFS est d'utiliser un VPN sécurisé et d'exécuter NFS dessus - de cette façon, vous protégez au moins l'insécurité système de fichiers à partir d'Internet - bien sûr, si quelqu'un viole votre VPN, vous êtes effectivement grand ouvert, mais ce serait le scénario habituel de toute façon.

Rory Alsop
la source
3

Je ne sais pas qui sont certaines personnes, mais je ne suis pas du tout d'accord avec elles. sshfsest d'environ 99% de la vitesse de NFS (testé) et beaucoup plus robuste. Il porte avec lui la capacité de sshgérer la nature instable du trafic Internet sans perdre, que sur NFS vous auriez accroché avec des poignées de fichier périmées.

J'ai utilisé sshfs pour monter mon répertoire personnel sur ma boîte à New York de San Jose et je suis resté connecté et j'ai travaillé pendant 3 jours pour un mouvement de données continu sans hoquet.

Essayez-le, vous l'aimerez.

linuxrebel
la source
5
SSHFS présente quelques inconvénients importants. Du haut de ma tête, il n'y a pas de support pour le verrouillage de fichiers. Cela peut vous causer des ennuis dans un environnement multi-utilisateurs - mais vous serez probablement d'accord si vous accédez simplement à votre répertoire personnel. SSHFS n'est pas non plus très tolérant envers les connexions réseau en flocons. Ce qui ne veut pas dire que NFS aime être déconnecté non plus, mais semble mieux en mesure de récupérer sans avoir à démonter complètement le système de fichiers distant.
Trevor Johns
2
La vitesse dépend. J'utilise OpenWRT sur un Archer C7, et NFS est cinq fois plus rapide que sshfs.
Sparhawk
2
"La vitesse dépend. J'exécute OpenWRT sur un Archer C7", car sshfs est lié au processeur, dans une certaine mesure, le cryptage est effectué sur le processeur. Donc, si vous connectez un poste de travail à un poste de travail, ça devrait aller ... les routeurs avec MIPS ou ARM sont un no-go.
thecarpy