누군가 인터넷을 통해 NFS를 스니핑 할 수 있습니까?


27

NFS를 사용하여 직장에서 홈 서버에 연결하고 싶습니다. sshfs를 시도했지만 일부 사람들은 NFS만큼 신뢰할 수 없다고 말합니다.

sshfs 트래픽이 암호화되어 있음을 알고 있습니다. 그러나 NFS는 어떻습니까? 누군가 내 트래픽을 스니핑하고 복사중인 파일을 볼 수 있습니까?

LAN에서 NFSv4를 사용하고 있으며 훌륭하게 작동합니다.


“일부 사람들”은 누구이며 정확히 무엇을 말합니까?
Gilles 'SO- 악마 그만해'

NFS는 블록 수준 프로토콜이며 대기 시간에 민감합니다. 일반적으로 UDP와 함께 사용되므로 방화벽 문제가 발생할 수 있습니다. TCP와 함께 사용할 수 있습니다. 성능이 좋지 않을 것으로 예상합니다.
Keith

답변 주셔서 감사합니다. 나는 집 밖에있을 때 sshfs를 고수 할 것이라고 생각하지만, 내가 LAN에있을 때 nfs를 사용할 것이라고 생각합니다.
Tomas

3
@Keith NFS는 파일 수준 프로토콜입니다. iSCSI, AoE는 블록 수준 프로토콜이지만 NFS는 아닙니다.

2
SSHFS는 실제로 갈 길입니다. 속도는 실제로 상류 / 하류 인터넷 연결에서 얻는 속도에 고유하며 ssh의 오버 헤드는 무시할 수 있습니다. 그리고 암호화의 장점뿐만 아니라 인증을 위해 공개 / 개인 키와 ssh-agent를 사용하는 것도 중요합니다.
Robin van Leeuwen

답변:


23

로 NFSv4를 사용하면 sec=krb5p안전합니다. 즉, 인증에 Kerberos 5를 사용하고 개인 정보 보호를 위해 연결을 암호화해야합니다. 그러나 NFS v3 또는 NFS v4를 sys=system으로 사용하는 경우 아니요로 설정하면 전혀 안전하지 않습니다.

알 수없는 취약점이있는 경우에 대비하여 kerberos 및 rpc 포트를 인터넷에 크게 노출시키는 데 약간의 우려가있을 수 있습니다.


감사. 단 하나. 해당 옵션이 서버 측에 구성되어 있습니까?
Tomas

1
@Tomas : 서버와 클라이언트가 모두 옵션을 가지고 협상합니다. 보안 연결로만 제한하려면 내보내기 옵션에 sec = krb5p 만 나열하십시오.
mattdm

일부 우려는 과소 평가입니다. NF를 터널링하지 않고 인터넷에서 사용하기에 충분히 미친 사람은 누구입니까?
Rui F Ribeiro 18

15

NFS 자체는 일반적으로 안전한 것으로 간주되지 않습니다. @matt에서 제안한대로 kerberos 옵션을 사용하는 것이 하나의 옵션이지만 NFS를 사용해야하는 경우 가장 안전한 방법은 안전한 VPN을 사용하고이를 통해 NFS를 실행하는 것입니다. 인터넷에서 파일 시스템-물론 누군가가 VPN을 위반하는 경우 효과적으로 공개적으로 열려 있지만 어쨌든 일반적인 시나리오입니다.


3

나는 어떤 사람들이 누군지 모르지만 나는 그들에 전혀 동의하지 않습니다. sshfsNFS (테스트) 속도의 약 99 %이며 훨씬 강력합니다. 그것은 ssh떨어지지 않고 인터넷 트래픽의 비정상적인 특성을 처리 할 수있는 능력을 가지고 있습니다 .NFS에서는 오래된 파일 핸들로 매달려있을 것입니다.

나는 sshfs를 사용하여 산호세의 NYC 상자에 홈 디렉토리를 마운트하고 딸꾹질없이 3 일 연속 데이터 이동을 위해 연결 상태를 유지했습니다.

시도해보세요. 마음에 드실 겁니다.


5
SSHFS에는 몇 가지 중요한 단점이 있습니다. 내 머리 꼭대기에서 파일 잠금을 지원하지 않습니다. 이렇게하면 다중 사용자 환경에서 문제가 발생할 수 있지만 홈 디렉토리에 액세스하는 것만으로도 괜찮을 것입니다. SSHFS는 또한 결함이있는 네트워크 연결에 대해 매우 관대하지 않습니다. NFS의 연결이 끊기는 것을 좋아하지는 않지만 원격 파일 시스템을 완전히 마운트 해제하지 않고도 복구하는 것이 더 좋습니다.
Trevor Johns

2
속도는 다릅니다. Archer C7에서 OpenWRT를 실행하고 있으며 NFS는 sshfs보다 5 배 빠릅니다.
Sparhawk

2
"속도는 다릅니다. Archer C7에서 OpenWRT를 실행하고 있습니다"는 sshfs가 CPU에 바인딩되어 있기 때문에 CPU에서 암호화가 수행되는 정도입니다. 따라서 워크 스테이션을 워크 스테이션에 연결하는 경우에는 괜찮습니다. MIPS 또는 ARM이있는 라우터는 아무 문제가 없습니다.
thecarpy
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.