Como proteger o NFS em ambiente de clientes não confiáveis

4

Se eu entendi como isso funciona, a segurança do NFS depende do fato de que os clientes podem ser confiáveis.

Estou preocupado com o fato de alguns usuários acessarem arquivos de outras pessoas. Sim, root_squash opção evita que usuário root em clientes acessem os arquivos, mas se alguém tiver privilégios de root em qualquer cliente, ele poderá acessar qualquer usuário e depois acessar os arquivos desejados.

Atualmente, estou exportando os arquivos para toda a rede local. Estou pensando em exportar apenas para um grupo de clientes confiáveis - mas provavelmente será difícil mantê-lo, e isso apenas obscurece o problema, o problema ainda persiste se algum cliente confiável obtém acesso root.

    
por Jorge Suárez de Lis 26.09.2012 / 01:15

1 resposta

7

O NFS é uma falha de segurança com acesso a arquivos - não há nada que você possa realmente fazer para mitigar isso. A melhor coisa que você pode fazer é apenas permitir exportações para clientes confiáveis como você descreveu, e opcionalmente usar regras de firewall para evitar que outras pessoas fuçam e conversem com seu servidor NFS (mesmo que, teoricamente, não possam fazer nada que você possa fazer) também certifique-se de que eles estão bloqueados).

Se você usa exclusivamente o NFSv4, você pode Kerberizar seu ambiente NFS , que oferece algumas opções de segurança melhores em termos de autenticação de clientes, mas o trabalho de manutenção do ambiente Kerberos é provavelmente igual a (ou maior que) manutenção de listas de exportação de grupos de rede - Se você estiver usando o Kerberos de qualquer maneira, pode ser uma solução melhor para você.

    
por 26.09.2012 / 01:35