Alguém pode cheirar NFS pela Internet?

Quero me conectar ao meu servidor doméstico do trabalho usando o NFS. Eu tentei o sshfs, mas algumas pessoas dizem que não é tão confiável quanto o NFS.

Eu sei que o tráfego sshfs está criptografado. Mas e o NFS? Alguém pode cheirar meu tráfego e visualizar os arquivos que estou copiando?

Estou usando o NFSv4 na minha LAN e funciona muito bem.

security nfs

— Tomas
fonte

Quem são as "algumas pessoas" e o que exatamente elas dizem?

— Gilles 'SO- stop be evil'

O NFS é um protocolo em nível de bloco e é sensível à latência. Geralmente é usado com o UDP, para que você possa ter problemas de firewall. Pode ser usado com o TCP. Espero que o desempenho não seja muito bom.

— Keith

Obrigado pelas respostas pessoal. Acho que vou ficar com sshfs quando estiver fora de casa, mas nfs quando estiver na lan.

— Tomas

@Keith NFS é um protocolo no nível do arquivo. iSCSI, AoE são protocolos em nível de bloco, mas não NFS.

SSHFS é realmente o caminho a percorrer. A velocidade é praticamente nativa do que você obtém na sua conexão de Internet upstream / downstream, a sobrecarga do ssh é insignificante. E os profissionais de criptografia, mas também o uso de chaves públicas / privadas e o ssh-agent para autenticação, são significativos.

— Robin van Leeuwen

Respostas:

Se você usa o NFSv4 sec=krb5p, ele é seguro. (Isso significa usar o Kerberos 5 para autenticação e criptografar a conexão para sys=systemgarantir a privacidade.) Mas se você usa o NFS v3 ou o NFS v4 com , então não, não é seguro.

Também pode haver alguma preocupação em expor as portas kerberos e rpc à Internet em geral, apenas no caso de vulnerabilidades desconhecidas.

— mattdm
fonte

Obrigado. Só uma coisa. Essa opção está configurada no lado do servidor?

— Tomas

@ Tomas: é negociado, com o servidor e o cliente tendo a opção. Se você deseja limitar apenas as conexões seguras, definitivamente liste apenas sec = krb5p nas opções de exportação.

— mattdm

Alguma preocupação é um eufemismo. Quem é louco o suficiente para usar NFs na Internet em geral, sem túneis?

— Rui F Ribeiro

O NFS em si geralmente não é considerado seguro - usar a opção kerberos, como sugere @matt, é uma opção, mas sua melhor aposta, se você precisar usar o NFS, é usar uma VPN segura e executar o NFS sobre isso - dessa maneira, pelo menos, protege os inseguros sistema de arquivos da Internet - é claro que se alguém violar sua VPN, você estará efetivamente aberto, mas de qualquer maneira esse seria o cenário usual.

— Rory Alsop
fonte

Não sei quem são algumas pessoas, mas não concordo com elas. sshfsé cerca de 99% da velocidade do NFS (testado) e muito mais robusto. Ele traz consigo a capacidade de sshlidar com a natureza esquisita do tráfego da Internet sem cair, que no NFS você teria que lidar com identificadores de arquivos obsoletos.

Eu usei o sshfs para montar meu diretório pessoal na minha caixa em Nova York, em San Jose, e fiquei conectado e trabalhando por 3 dias com a movimentação contínua de dados sem problemas.

Experimente, você vai gostar.

— linuxrebel
fonte

O SSHFS tem algumas desvantagens importantes. Em cima da minha cabeça, não há suporte para bloqueio de arquivos. Isso pode causar problemas em um ambiente multiusuário - embora você provavelmente esteja bem se apenas estiver acessando seu diretório pessoal. O SSHFS também não tolera muito as conexões de rede flakey. O que não quer dizer que o NFS também goste de ser desconectado, mas parece mais capaz de se recuperar sem precisar desmontar completamente o sistema de arquivos remoto.

— Trevor Johns

A velocidade depende. Estou executando o OpenWRT em um Archer C7 e o NFS é cinco vezes mais rápido que o sshfs.

— Sparhawk #

"A velocidade depende. Estou executando o OpenWRT em um Archer C7", porque o sshfs é vinculado à CPU, até certo ponto, a criptografia é feita na CPU. Portanto, se você estiver conectando uma estação de trabalho à estação de trabalho, tudo ficará bem ... os roteadores com MIPS ou ARM não podem ser utilizados.

— Thecarpy