Ai đó có thể đánh hơi NFS qua internet?

Tôi muốn kết nối với máy chủ nhà của tôi từ công việc bằng NFS. Tôi đã thử sshfs nhưng một số người nói rằng nó không đáng tin cậy như NFS.

Tôi biết lưu lượng sshfs được mã hóa. Nhưng còn NFS thì sao? Ai đó có thể đánh hơi lưu lượng truy cập của tôi và xem các tệp tôi đang sao chép không?

Tôi đang sử dụng NFSv4 trong mạng LAN của mình và nó hoạt động rất tốt.

security nfs

— Tomas
nguồn

Ai là người mà một số người dân, và chính xác thì họ nói gì?

— Gilles 'SO- ngừng trở nên xấu xa'

NFS là một giao thức cấp khối và nhạy cảm với độ trễ. Nó thường được sử dụng với UDP để bạn có thể gặp sự cố về tường lửa. Nó có thể được sử dụng với TCP. Tôi hy vọng hiệu suất sẽ không được tốt.

— Keith

Cảm ơn các anh vì các câu trả lời. Tôi nghĩ rằng tôi sẽ gắn bó với sshfs khi ở ngoài nhà, nhưng nfs khi tôi ở trong lan.

— Tomas

@Keith NFS là một giao thức cấp tập tin. iSCSI, AoE là các giao thức cấp khối, nhưng không phải là NFS.

SSHFS thực sự là con đường để đi. Tốc độ thực tế có nguồn gốc từ những gì bạn nhận được trên kết nối internet ngược dòng / hạ lưu của mình, chi phí hoạt động của ssh là không đáng kể. Và những ưu điểm của mã hóa mà cả việc sử dụng khóa công khai / riêng tư và ssh-agent để xác thực là rất đáng kể.

— Robin van Leeuwen

Câu trả lời:

Nếu bạn sử dụng NFSv4 sec=krb5pthì nó an toàn. (Điều đó có nghĩa là sử dụng Kerberos 5 để xác thực và mã hóa kết nối để bảo mật.) Nhưng nếu bạn sử dụng NFS v3 hoặc NFS v4 sys=systemthì không, nó hoàn toàn không an toàn.

Cũng có thể có một số lo ngại với việc phơi bày các cổng kerberos và rpc trên internet, chỉ trong trường hợp lỗ hổng không xác định.

— mattdm
nguồn

Cảm ơn. Một điều nữa thôi. Là tùy chọn đó được cấu hình ở phía máy chủ?

— Tomas

@Tomas: nó được thương lượng, với cả máy chủ và máy khách đều có tùy chọn. Nếu bạn muốn giới hạn chỉ các kết nối an toàn, thì chắc chắn chỉ liệt kê sec = krb5p trên các tùy chọn xuất.

— mattdm

Một số mối quan tâm là một cách hiểu. Ai đủ điên rồ để sử dụng các NF trong Internet mà không cần đường hầm?

— Rui F Ribeiro

Bản thân NFS thường không được coi là an toàn - sử dụng tùy chọn kerberos như @matt gợi ý là một tùy chọn, nhưng cách tốt nhất của bạn nếu bạn phải sử dụng NFS là sử dụng VPN an toàn và chạy NFS qua đó - cách này ít nhất bạn bảo vệ sự không an toàn hệ thống tập tin từ Internet - dĩ nhiên nếu ai đó vi phạm VPN của bạn, bạn thực sự mở rộng, nhưng dù sao đó cũng sẽ là viễn cảnh thông thường.

— Rory Alsop
nguồn

Tôi không biết một số người là ai, nhưng tôi không đồng ý với họ. sshfslà khoảng 99% tốc độ của NFS (đã thử nghiệm) và mạnh mẽ hơn rất nhiều. Nó mang trong mình khả năng sshxử lý tính chất dễ vỡ của lưu lượng truy cập internet mà không bị giảm, rằng trên NFS sẽ có bạn treo với tay cầm tập tin cũ.

Tôi đã sử dụng sshfs để gắn thư mục nhà của mình vào hộp của tôi ở NYC từ San Jose và duy trì kết nối và làm việc trong 3 ngày liên tục di chuyển dữ liệu mà không bị trục trặc.

Hãy thử nó, bạn sẽ thích nó.

— linuxrebel
nguồn

SSHFS có một số nhược điểm quan trọng. Ngoài đỉnh đầu của tôi, không có hỗ trợ cho việc khóa tập tin. Điều này có thể khiến bạn gặp rắc rối trong môi trường nhiều người dùng - mặc dù bạn có thể sẽ ổn nếu bạn chỉ truy cập vào thư mục chính của mình. SSHFS cũng không chấp nhận được các kết nối mạng hoàn hảo. Điều đó không có nghĩa là NFS thích bị ngắt kết nối, nhưng dường như có khả năng phục hồi tốt hơn mà không cần phải ngắt kết nối hoàn toàn hệ thống tệp từ xa.

— Trevor Johns

Tốc độ phụ thuộc. Tôi đang chạy OpenWRT trên Archer C7 và NFS nhanh hơn năm lần so với sshfs.

— Sparhawk

"Tốc độ phụ thuộc. Tôi đang chạy OpenWRT trên Archer C7" bởi vì sshfs bị ràng buộc bởi CPU, ở một mức độ nào đó, việc mã hóa được thực hiện trên CPU. Vì vậy, nếu bạn đang kết nối máy trạm với máy trạm, thì sẽ ổn thôi ... bộ định tuyến với MIPS hoặc ARM là không nên.

— thecarpy