Може хтось нюхає NFS через Інтернет?

Я хочу підключитися до домашнього сервера з роботи за допомогою NFS. Я спробував sshfs, але деякі кажуть, що це не так надійно, як NFS.

Я знаю, що трафік sshfs зашифрований. А як щодо НФС? Чи може хтось нюхати мій трафік і переглядати файли, які я копіюю?

Я використовую NFSv4 у своїй локальній мережі, і він чудово працює.

security nfs

— Томаш
джерело

Хто такі "деякі люди", і що саме вони говорять?

— Жиль "ТАК - перестань бути злим"

NFS є протоколом рівня блоків і чутливий до затримки. Зазвичай використовується з UDP, тому у вас можуть виникнути проблеми з брандмауером. Його можна використовувати з TCP. Я очікую, що продуктивність буде не дуже хорошою.

— Кіт

Дякую за відповіді, хлопці. Я думаю, що я буду дотримуватися sshfs, коли поза домом, але nfs, коли я в лан.

— Томаш

@Keith NFS - протокол файлового рівня. iSCSI, AoE - це протоколи рівня блоків, але не NFS.

SSHFS - це справді шлях. Швидкість практично не відрізняється від того, що ви отримуєте на своєму вхідному / нижньому потоці підключення до Інтернету, накладні витрати на ssh незначні. Плюси шифрування, а також використання публічних / приватних ключів та ssh-агента для автентифікації є важливими.

— Робін ван Левен

Відповіді:

Якщо ви використовуєте NFSv4 з sec=krb5p, це безпечно. (Це означає, що використовуйте Kerberos 5 для аутентифікації та зашифруйте з'єднання для конфіденційності.) Але якщо ви використовуєте NFS v3 або NFS v4 sys=system, то ні, це зовсім не безпечно.

Можливо, може виникнути певна занепокоєння щодо відкриття портів kerberos та rpc в Інтернеті взагалі, лише у випадку невідомих уразливостей.

— mattdm
джерело

Спасибі. Тільки одне. Чи налаштована ця опція на стороні сервера?

— Томаш

@Tomas: вона узгоджується, і сервер, і клієнт мають можливість. Якщо ви хочете обмежитися лише захищеними з’єднаннями, тоді обов'язково перелічіть лише sec = krb5p в опціях експорту.

— mattdm

Деяке занепокоєння викликає заниження. Хто божевільний, щоб використовувати NF в Інтернеті взагалі без тунелю?

— Rui F Ribeiro

Сам NFS взагалі не вважається безпечним - використання параметра kerberos, як підказує @matt, є одним із варіантів, але найкраще, якщо вам доведеться використовувати NFS, - це використовувати захищений VPN та запускати NFS через це - таким чином ви принаймні захистите небезпечне файлова система з Інтернету - звичайно, якщо хтось порушує вашу VPN, ви фактично широко відкриті, але це все одно був би звичайний сценарій.

— Рорі також
джерело

Я не знаю, хто такі люди, але я зовсім не згоден з ними. sshfsце приблизно 99% швидкості NFS (випробувано) і набагато більш надійний. Він несе в собі можливість sshобробляти нескінченний характер інтернет-трафіку, не скидаючи, що на NFS ви повісите з несвіжими ручками файлів.

Я використовував sshfs для монтажу домашнього каталогу в моєму вікні в Нью-Йорку з Сан-Хосе і залишався на зв’язку і працював протягом 3 днів безперервного руху даних без ікони.

Спробуйте, вам сподобається.

— linuxrebel
джерело

SSHFS має деякі важливі недоліки. У верхній частині голови немає підтримки блокування файлів. Це може зашкодити вам у багатокористувацькому середовищі - хоча, ймовірно, буде добре, якщо ви просто отримуєте доступ до домашнього каталогу. SSHFS також не дуже толерантний до нестабільних мережних з'єднань. Що не означає, що і NFS любить відключатися, але здається, що він може відновитись без необхідності повністю відключити віддалену файлову систему.

— Тревор Джонс

Швидкість залежить. Я запускаю OpenWRT на Archer C7, а NFS в п’ять разів швидше, ніж sshfs.

— Sparhawk

"Швидкість залежить. Я запускаю OpenWRT на Archer C7", тому що sshfs пов'язаний з процесором, певною мірою шифрування робиться на процесорі. Отже, якщо ви підключаєте робочу станцію до робочої станції, то це повинно бути добре ... маршрутизатори з MIPS або ARM - це не потрібне.

— thecarpy