¿Alguien puede oler NFS por internet?

27

Quiero conectarme a mi servidor doméstico desde el trabajo usando NFS. Probé sshfs pero algunas personas dicen que no es tan confiable como NFS.

Sé que el tráfico sshfs está encriptado. ¿Pero qué hay de NFS? ¿Alguien puede oler mi tráfico y ver los archivos que estoy copiando?

Estoy usando NFSv4 en mi LAN y funciona muy bien.

security nfs Tomás
fuente
¿Quiénes son "algunas personas" y qué dicen exactamente?
Gilles 'SO- deja de ser malvado'
NFS es un protocolo de nivel de bloque y es sensible a la latencia. Por lo general, se usa con UDP, por lo que puede tener problemas de firewall. Se puede usar con TCP. Espero que el rendimiento no sea muy bueno.
Keith
Gracias por la respuesta chicos. Creo que me quedaré con sshfs cuando esté fuera de casa, pero nfs cuando esté en el LAN.
Tomás
3
@Keith NFS es un protocolo a nivel de archivo. iSCSI, AoE son protocolos de nivel de bloque, pero no NFS.
2
SSHFS es de hecho el camino a seguir. La velocidad es prácticamente nativa de lo que obtienes en tu conexión a Internet ascendente / descendente, la sobrecarga de ssh es insignificante. Y las ventajas del cifrado, pero también el uso de claves públicas / privadas y ssh-agent para la autenticación son significativas.
Robin van Leeuwen

Respuestas:

23

Si usa NFSv4 con sec=krb5p, entonces es seguro. (Eso significa usar Kerberos 5 para la autenticación y cifrar la conexión para la privacidad). Pero si usa NFS v3 o NFS v4 con sys=system, entonces no, no es seguro en absoluto.

También puede haber cierta preocupación por exponer los puertos kerberos y rpc a Internet en general, en caso de vulnerabilidades desconocidas.

mattdm
fuente
Gracias. Sólo una cosa. ¿Esa opción está configurada en el lado del servidor?
Tomás
1
@Tomas: se negocia, y el servidor y el cliente tienen la opción. Si desea limitar solo las conexiones seguras, definitivamente solo enumere sec = krb5p en las opciones de exportación.
mattdm
Alguna preocupación es un eufemismo. ¿Quién es lo suficientemente loco como para usar NF en Internet en general sin hacer un túnel?
Rui F Ribeiro
15

NFS en sí no se considera seguro en general: usar la opción kerberos como @matt sugiere es una opción, pero su mejor opción si tiene que usar NFS es usar una VPN segura y ejecutar NFS sobre eso, de esta manera al menos protege a los inseguros sistema de archivos de Internet, por supuesto, si alguien viola su VPN, usted está efectivamente abierto, pero de todos modos ese sería el escenario habitual.

Rory Alsop
fuente
3

No sé quiénes son algunas personas, pero no estoy de acuerdo con ellas en absoluto. sshfses aproximadamente el 99% de la velocidad de NFS (probado) y mucho más robusto. Lleva consigo la capacidad de sshmanejar la naturaleza escamosa del tráfico de Internet sin caerse, eso en NFS lo tendría colgando con mangos de archivos obsoletos.

Utilicé sshfs para montar mi directorio de inicio en mi caja en Nueva York desde San José y me mantuve conectado y trabajando durante 3 días en movimiento continuo de datos sin problemas.

Pruébalo, te gustará.

linuxrebel
fuente
55
SSHFS tiene algunas desventajas importantes. Fuera de mi cabeza, no hay soporte para el bloqueo de archivos. Esto puede meterte en problemas en un entorno multiusuario, aunque probablemente estarás bien si solo estás accediendo a tu directorio de inicio. SSHFS tampoco es muy tolerante con las conexiones de red flakey. Lo que no quiere decir que a NFS le guste estar desconectado tampoco, pero parece que puede recuperarse mejor sin tener que desmontar por completo el sistema de archivos remoto.
Trevor Johns
2
La velocidad depende Estoy ejecutando OpenWRT en un Archer C7, y NFS es cinco veces más rápido que sshfs.
Sparhawk
2
"La velocidad depende. Estoy ejecutando OpenWRT en un Archer C7", eso se debe a que sshfs está vinculado a la CPU, hasta cierto punto, el cifrado se realiza en la CPU. Por lo tanto, si está conectando la estación de trabajo a la estación de trabajo, debería estar bien ... los enrutadores con MIPS o ARM no se pueden usar.
thecarpy