Frage Secure Network Filesystems für Linux: Was machen die Leute?


NFSv3 ist weit verbreitet, aber das Standardsicherheitsmodell ist ... urig. CIFS kann Kerberos-Authentifizierung verwenden, aber ohne POSIX-Semantik ist es ein Nicht-Starter. AFS hat den Verkehr auf dem Draht nie verschlüsselt und ist krb4 - und im Grunde ein totes Projekt. Fantastische neue experimentelle Dateisysteme werden entweder nie realisiert oder sind auf Geschwindigkeit ausgerichtet (und wenn Sie Glück haben, Datenzuverlässigkeit) - zum Beispiel verwendet Lustre dasselbe Client-Trust-Modell wie NFSv3. Für den Heimgebrauch ist sshfs geschickt, aber das skaliert sicher nicht.

Und dann gibt es natürlich NFSv4 mit sec = krb5p. Großartig in der Theorie, aber nach zehn Jahren scheint es in der realen Welt beunruhigend unbenutzt zu sein. Der Linux-Client hat gerade jetzt hatte das experimentelle Etikett entfernt. Und wenn Sie sich EMC Celerra, Isilon usw. anschauen, dann ist das alles NFSv3. (Celerra unterstützt NFSv4, aber es ist Ja wirklich begraben in der Dokumentation. Isilon hat offensichtlich daran gearbeitet, die RPCGSS-Unterstützung für FreeBSD hinzuzufügen, also kommt es vielleicht, aber jetzt ist es nicht da. ) Ich kann diesen Beitrag nicht einmal als "nfsv4" markieren, weil ich neu hier bin und Das wäre ein neues Tag.

So, Ja wirklich. Was macht ihr alle?


26
2017-10-29 19:27


Ursprung


Ich würde gerne sagen, "NFS3 über IPSEC", aber ich kann nicht. - sysadmin1138♦
"NFS3 over IPSEC" hilft bei dem Problem on-the-wire, behebt aber kein anderes grundlegendes NFS-Problem: Wenn eine Clientbox rootet oder wenn Sie sich in einer Umgebung befinden, in der Benutzer root auf ihren eigenen Systemen erhalten kann sich jeden entfernten Benutzer trivial ausgeben. - mattdm
Da bist du, neues Tag;) - Cry Havok
AFAIK, Kerberos wurde für NFS definiert - Javier
Ich bin mir nicht so sicher über die Notwendigkeit, den Datenverkehr in einer LAN-Umgebung zu verschlüsseln (die Authentifizierung sollte jedoch verschlüsselt sein). Sie sollten trotzdem auf ARP-Vergiftung achten ... - Hubert Kario


Antworten:


Da es eine spezifische Frage ist (Was machst du alle), lass uns antworten: nichts. Die meisten Administratoren und Benutzer kümmern sich einfach nicht um die NFS-Sicherheit, sodass jeder NFSv3 verwendet. Es ist typischerweise eine kontrollierte Umgebung (in dem Sinne, dass nur gut bekannte Maschinen überhaupt an das Netzwerk angeschlossen werden können). Wenn jemand erwischt wird, der die Infrastruktur missbraucht, werden sie gefeuert oder ins Gefängnis geworfen.

Für Daten, die Sie Ja wirklich Ich möchte nicht, dass jemand in der Lage ist zu lesen, Sie verschlüsseln sie explizit, z. Firefox-Passwort-Datenbanken, SSH-Schlüssel oder PGP-Schlüssel. Sie tun das, weil Sie wissen, dass der Administrator sie auf dem Dateiserver lesen konnte, so dass Netzwerk-Dateisystem-Sicherheit sowieso keine Hilfe wäre.


8
2017-10-31 00:05





Sie scheinen hier zwei Fragen zu stellen:

Was verwenden wir eigentlich? und Was macht das?

Was Ich bin tatsächlich ist CIFS, in meinen Anwendungsfällen ist POSIX weniger wichtig, daher hatte ich keine Probleme. NFS3 wird in Bereichen verwendet, in denen die Sicherheit nicht wichtig ist, wie z. B. bei meinem SLES-Installationsserver. Und schließlich sshfs / gvfs für die einfache Benutzer-Land-Freigabe. Wireline-Verschlüsselung wird nicht als notwendig erachtet, das ist für uns kein sinnvoller Faktor.

Wie für die andere Frage scheint es sechs Hauptanforderungen für das, was Sie suchen:

  1. Verschlüsselt den Datenverkehr auf der Leitung.
  2. Verschlüsselt die Authentifizierung.
  3. Posix-Semantik.
  4. Starke Durchsetzung von serverbasierten ACLs
  5. Ist kein Nutzerland.
  6. Wird tatsächlich benutzt.

Ich vermute, dass die Punkte 5 und 6 hier die Mörder sein werden, aber hier geht es (auch das ist der Punkt, an dem ein Tisch stehen würde) Ja wirklich praktisch, aber Markdown / StackExchange unterstützt es nicht).

NFSv3 + IPSec

  1. Auf dem Draht verschlüsselt, übergeben
  2. Keine verschlüsselte Authentifizierung, Scheitern
  3. Posix Semantik, Pass
  4. Keine starke Durchsetzung von serverbasierten ACLs, Scheitern
  5. Ist nicht Benutzerland, pass
  6. Wird tatsächlich verwendet, übergeben

NFSv4 + Krb + IPSec

  1. Auf dem Draht verschlüsselt, übergeben
  2. Verschlüsselte Authentifizierung, bestanden
  3. Posix Semantik, Pass
  4. Starke Durchsetzung von serverbasierten ACLs, bestanden
  5. Ist nicht Benutzerland, pass
  6. Wird nicht wirklich benutzt, Scheitern

CIFS

  1. Nicht verschlüsselt auf dem Draht, Scheitern
  2. Verschlüsselte Authentifizierung
  3. Posix Semantik, Pass (Samba & Kernel jetzt, Windows hat seit den NT Tagen eine Posix Ebene)
  4. Starke Durchsetzung von serverbasierten ACLs, bestanden
  5. Ist nicht Benutzerland, pass
  6. Wird tatsächlich verwendet, übergeben

CIFS + IPSec

  1. Auf dem Draht verschlüsselt, übergeben
  2. Verschlüsselte Authentifizierung
  3. Posix Semantik, Pass (Samba & Kernel jetzt)
  4. Starke Durchsetzung von serverbasierten ACLs, bestanden
  5. Ist nicht Benutzerland, pass
  6. Wird nicht wirklich benutzt, Scheitern

SSHFS

  1. Auf dem Draht verschlüsselt, übergeben
  2. Verschlüsselte Authentifizierung, bestanden
  3. Posix Semantik, Pass
  4. Starke Durchsetzung von serverbasierten ACLs, bestanden
  5. Ist Nutzerland, Scheitern
  6. Wird tatsächlich verwendet, übergeben

AFP / NetATalk

  1. Auf dem Draht verschlüsselt, Scheitern
  2. Verschlüsselte Authentifizierung, bestanden
  3. Posix Semantik, Pass
  4. Starke Durchsetzung von serverbasierten ACLs, bestanden
  5. Ist nicht Benutzerland, pass
  6. Wird tatsächlich verwendet, Scheitern

Und ich berühre nicht die verteilten Dateisysteme da draußen. Es gibt einfach keine einzige Sache, die alles macht. Einige kommen nahe (CIFS) und einige sind schon da, aber niemand benutzt sie (NFS4 + IPSec, CIFS + IPSec). Aus irgendeinem Grund ist ein sicheres Netzwerk-Dateisystem im Laufe der Jahre vielen Kompromissen ausgesetzt.


14
2017-11-02 04:11



Sie hätten "NFSv4 + Krb" erwähnen und "7 hinzufügen können. Ist es ziemlich schnell (d. H. Verglichen mit dem gleichen Protokollstapel ohne Verschlüsselung)?" als eine Frage. Was wäre wohl ein Scheitern für NFSv4 + krb5p, aber bestehen für Fragen 1-6. - al.
könnte Zeit für ein neues sicheres Netzwerk-Dateisystem SNFS sein? - The Unix Janitor
@ user37899 Das Problem besteht nach wie vor darin, Gerätehersteller davon zu überzeugen, es zu unterstützen, und Organisationen, es zu implementieren. - sysadmin1138♦
Wir hatten wirklich Pech, CIFS im POSIX-Modus zu verwenden. Vielleicht ist es Zeit, das noch einmal zu überdenken. - mattdm
FWIW Ich verwende CIFS + IPsec, aber nicht mit POSIX-Semantik. Server ist EMC Celerra, Kunden win7. IPSec-Tunnel im LAN-zu-LAN-Modus zwischen Cisco ASA (neben Celerra) und dem Win7 Built-in IPSec. - Dan Pritts


Ich verwende Openafs seit Jahren in der Produktion, sowohl mit Linux- als auch mit Windows-Clients. Es funktioniert großartig, hat eine aktive Entwickler-Community und wurde in den letzten Jahren viel einfacher zu installieren und zu verwalten, da die verschiedenen Linux-Distributionen dafür eine Verpackung enthalten haben. Es hat seine Warzen, aber ich habe festgestellt, dass sie durch mehr Verwaltungsflexibilität, die Möglichkeit, Clients und Server durch langsame Verbindungen getrennt zu haben, die Leichtigkeit von Offsite-Backups und andere positive AFSismen ausgeglichen werden.

Eine Sache, die ich besonders mag, ist die Produktion von Internetservern auf Openafs, wobei die ACLs gesperrt sind. Ohne ein Kerberos-Ticket gibt es keinen Prozess auf dem Rechner - auch nicht einen, der als root läuft - der in das Dateisystem schreiben kann. Ich kann nicht zählen, wie oft wir schon bemerkt haben, dass Angriffe aufgrund dieser einfachen Maßnahme völlig fehlschlagen.

Es gibt einige ziemlich große openafs Benutzer - der größte kommerzielle Benutzer, den ich kenne, ist Morgan Stanley.


3
2018-03-13 01:23





Wie wäre es mit OpenAFS, das noch am Leben ist und ein VPN unter ihm, weil seine einzige Verschlüsselung im Moment DES ist.


1
2017-11-02 07:59



Ich habe OpenAFS in der Produktion verwendet. Gerüchte über seine Lebendigkeit sind stark übertrieben. - mattdm
Es gab eine neue Veröffentlichung diesen Monat und davor gab es ziemlich regelmäßige Updates zur Unterstützung neuer Versionen von Windows und neuer Versionen von Linux-Kernel (neueste Version unterstützt 3.0). - Hubert Kario


Ich sehe, dass viele Leute in diesem Thread über das Verstecken von Daten sprechen, d. H. Angriffe, die nicht in der Lage sind, Ihre Daten auszuspionieren. Ebenso wichtig ist es, über Datenintegrität und Authentizität nachzudenken. Sind diese NFS-Pakete wirklich von Ihrem NFS-Server? Wurde ein NFS-Paket während der Übertragung geändert?


1
2017-11-06 12:28



NFS über IPsec kümmert sich darum (auf Wide-Area-Links) und die Überwachung auf ARP-Poisoning tut das im LAN - Hubert Kario
benutzt jemand tatsächlich ipsec mit Erfolg? - The Unix Janitor


Nun, für mich klingt es wie eines dieser verteilten Dateisysteme für Sie. Ich würde OpenAFS nicht unbedingt empfehlen, da es alt ist, unterstützt IPv6 noch nicht, ..

Ich bin ziemlich glücklich mit GlusterFS mich selber. Gluster ist ziemlich ausgereift, funktioniert gut und hat eine gute Funktion. Wie kürzlich im IRC diskutiert, unterstützt Gluster IPv6 jedoch auch nicht stabil. Diese Funktion wird für 3.6 oder 3.7 geplant.

Es gibt auch ein Projekt namens HekaFS, das auf Gluster aufbaut, das erweiterte Authentifizierungsfunktionen und SSL hinzufügt. Es ist sehr gut dokumentiert und sehr gut gestaltet.

Was für Sie vielleicht interessant ist, ist XtreemFS, die für globales Grid-Computing entwickelt wurde, also standardmäßig mit SSL und so. Meine Wahl fiel auf Gluster, da die Community aktiver und besser dokumentiert ist.

Beide sind natürlich posix-konform.


1
2018-01-19 12:30





Ich benutze NFS. Server-zu-Server-NFS wird jedoch über einen dedizierten Netzwerk-Backbone ausgeführt, sodass keine Verschlüsselung erforderlich ist und die Authentifizierung sinnlos ist. Stellen Sie jeden Export so ein, dass nur ein ausgewähltes Verzeichnis basierend auf IP für einen Server freigegeben wird.


0
2017-11-02 07:15



dediziertes Netzwerk, bis jemand mit switchshark in das Rack schaltet. - The Unix Janitor
Das ist ein physisches Sicherheitsproblem dann. Sobald sie mit den Servern im selben Raum sind, ist das Spiel sowieso vorbei. - Porch