लिनक्स के लिए सुरक्षित नेटवर्क फाइलसिस्टम: लोग क्या कर रहे हैं?

NFSv3 व्यापक है, लेकिन डिफ़ॉल्ट सुरक्षा मॉडल है ... विचित्र । CIFS कर्बेरॉस प्रमाणीकरण का उपयोग कर सकता है, लेकिन POSIX शब्दार्थ के बिना यह एक गैर स्टार्टर है। AFS ने तार पर ट्रैफ़िक को कभी एन्क्रिप्ट नहीं किया और krb4 है - और मूल रूप से एक मृत परियोजना है। फैंसी नए प्रायोगिक फाइल सिस्टम या तो कभी भी गति नहीं देते हैं या गति पर ध्यान केंद्रित करते हैं (और यदि आप भाग्यशाली हैं, तो डेटा विश्वसनीयता) - उदाहरण के लिए, लस्टर उसी क्लाइंट-ट्रस्ट मॉडल का उपयोग करता है जैसे कि एनएफएसवी 3। घर में उपयोग के लिए, sshfs निफ्टी है, लेकिन यह सुनिश्चित नहीं है कि पैमाने नहीं हैं।

और फिर निश्चित रूप से NFSv4, sec = krb5p के साथ है। सिद्धांत रूप में महान, लेकिन दस वर्षों के बाद, यह वास्तविक दुनिया में परेशान अप्रयुक्त प्रतीत होता है। लिनक्स क्लाइंट के पास अभी प्रयोगात्मक टैग हटा दिया गया है। और अगर आप EMC Celerra, Isilon आदि को देखते हैं, तो यह सभी NFSv3 है। (Celerra NFSv4 का समर्थन करता है, लेकिन यह वास्तव में प्रलेखन में दफन है। Isilon ने स्पष्ट रूप से RPCGSS समर्थन को FreeBSD में जोड़ने का काम किया है, इसलिए शायद यह आ रहा है, लेकिन यह अभी नहीं है।) मैं इस पोस्ट को "nfsv4" के रूप में टैग भी नहीं कर सकता क्योंकि "मैं। यहाँ नया है और यह एक नया टैग होगा ।

तो, वास्तव में । तुम सब क्या कर रहे हो?

चूंकि यह एक विशिष्ट प्रश्न है (आप सभी क्या कर रहे हैं), आइए इसका उत्तर दें: कुछ भी नहीं। अधिकांश प्रशासक और उपयोगकर्ता केवल एनएफएस सुरक्षा के बारे में चिंता नहीं करते हैं, इसलिए हर कोई एनएफएसवी 3 का उपयोग करता है। यह आमतौर पर एक नियंत्रित वातावरण होता है (इस अर्थ में कि केवल प्रसिद्ध मशीनें ही नेटवर्क को पहली जगह से जोड़ सकती हैं)। अगर कोई बुनियादी ढांचे का दुरुपयोग करते हुए पकड़ा जाता है, तो उन्हें निकाल दिया जाता है या जेल भेज दिया जाता है।

उन डेटा के लिए जिन्हें आप वास्तव में पढ़ना नहीं चाहते हैं, आप उन्हें स्पष्ट रूप से एन्क्रिप्ट करते हैं, जैसे फ़ायरफ़ॉक्स पासवर्ड डेटाबेस, ssh कुंजियाँ, या pgp कुंजियाँ। आप ऐसा इसलिए करते हैं क्योंकि आप जानते हैं कि व्यवस्थापक उन्हें फ़ाइल सर्वर पर पढ़ सकते हैं, इसलिए नेटवर्क फ़ाइल सिस्टम सुरक्षा किसी भी तरह की मदद नहीं करेगी।

आप यहाँ दो सवाल पूछ रहे हैं:

हम वास्तव में क्या उपयोग कर रहे हैं? और यह क्या करता है?

क्या मैं कर रहा हूँ वास्तव में का उपयोग कर CIFS है, मेरे उपयोग-मामले में POSIX कम महत्वपूर्ण है इसलिए मैं कोई समस्या नहीं है था। NFS3 का उपयोग उन क्षेत्रों में किया जाता है जहां सुरक्षा महत्वपूर्ण नहीं है, जैसे कि मेरा SLES सर्वर स्थापित करना। और अंत में, सरल उपयोगकर्ता-भूमि साझा करने के लिए sshfs / gvfs। वायरलाइन एन्क्रिप्शन की आवश्यकता नहीं समझी जाती है, इसलिए यह हमारे लिए एक सार्थक कारक नहीं है।

दूसरे प्रश्न के लिए, आप जो खोज रहे हैं, उसके लिए छह मुख्य आवश्यकताएं हैं:

1. तार पर यातायात को प्रोत्साहित करता है।
2. प्रमाणीकरण को प्रोत्साहित करता है।
3. पॉज़िक्स शब्दार्थ।
4. सर्वर-आधारित एसीएल का मजबूत प्रवर्तन।
5. उपयोगकर्ता नहीं है।
6. वास्तव में उपयोग किया जाता है।

मुझे संदेह है कि अंक 5 और 6 यहां हत्यारे होंगे, लेकिन यहां जाता है (यह भी, यह वह बिंदु है जहां एक तालिका वास्तव में आसान होगी, लेकिन markdown / StackExchange इसका समर्थन नहीं करता है)।

NFSv3 + IPSec

1. तार पर एन्क्रिप्टेड, पास
2. कोई एन्क्रिप्टेड प्रमाणीकरण, विफल
3. पॉज़िक्स शब्दार्थ, पास
4. सर्वर-आधारित ACL का कोई मजबूत प्रवर्तन विफल हो जाता है
5. यूजरलैंड नहीं है, पास है
6. वास्तव में उपयोग किया जाता है, पास

NFSv4 + Krb + IPSec

1. तार पर एन्क्रिप्टेड, पास
2. एन्क्रिप्टेड प्रमाणीकरण, पास
3. पॉज़िक्स शब्दार्थ, पास
4. सर्वर-आधारित एसीएल का सशक्त प्रवर्तन, पास
5. यूजरलैंड नहीं है, पास है
6. वास्तव में उपयोग नहीं किया जाता है, असफल

CIFS

1. तार पर एन्क्रिप्टेड नहीं, विफल
2. एन्क्रिप्टेड प्रमाणीकरण
3. पॉज़िक्स शब्दार्थ, पास (सांबा और कर्नेल अब, विंडोज़ में NT दिनों से एक पॉज़िक्स परत है)
4. सर्वर-आधारित एसीएल का सशक्त प्रवर्तन, पास
5. यूजरलैंड नहीं है, पास है
6. वास्तव में उपयोग किया जाता है, पास

CIFS + IPSec

1. तार पर एन्क्रिप्टेड, पास
2. एन्क्रिप्टेड प्रमाणीकरण
3. पॉज़िक्स शब्दार्थ, पास (सांबा और कर्नेल अब)
4. सर्वर-आधारित एसीएल का सशक्त प्रवर्तन, पास
5. यूजरलैंड नहीं है, पास है
6. वास्तव में उपयोग नहीं किया जाता है, असफल

sshfs

1. तार पर एन्क्रिप्टेड, पास
2. एन्क्रिप्टेड प्रमाणीकरण, पास
3. पॉज़िक्स शब्दार्थ, पास
4. सर्वर-आधारित एसीएल का सशक्त प्रवर्तन, पास
5. उपयोगकर्ता है, विफल
6. वास्तव में उपयोग किया जाता है, पास

एएफपी / netatalk

1. तार पर एन्क्रिप्ट किया गया, विफल
2. एन्क्रिप्टेड प्रमाणीकरण, पास
3. पॉज़िक्स शब्दार्थ, पास
4. सर्वर-आधारित एसीएल का सशक्त प्रवर्तन, पास
5. यूजरलैंड नहीं है, पास है
6. वास्तव में उपयोग किया जाता है, असफल

और मैं वहाँ वितरित फ़ाइल-सिस्टम को नहीं छू रहा हूँ। वहाँ बस एक ही बात नहीं है कि यह सब करता है। कुछ पास आते हैं (CIFS) और कुछ पहले से ही हैं, लेकिन कोई भी उनका उपयोग नहीं करता है (NFS4 + IPSec, CIFS + IPSec)। किसी कारण से एक सुरक्षित नेटवर्क फाइलसिस्टम ऐसा कुछ है जो वर्षों में बहुत सारे समझौते के अधीन है।

मैं लिनक्स और विंडोज क्लाइंट दोनों के साथ वर्षों से उत्पादन में ओपनैफ का उपयोग कर रहा हूं। यह महान काम करता है, एक सक्रिय विकास समुदाय है, और पिछले कुछ वर्षों में इसे स्थापित करने और प्रशासित करने के लिए बहुत आसान हो गया है क्योंकि विभिन्न लिनक्स डिस्ट्रोस ने इसके लिए पैकेजिंग को शामिल किया है। इसके मौसा होते हैं, लेकिन मैंने पाया है कि वे अधिक प्रशासनिक लचीलेपन से भरपाई कर रहे हैं, क्लाइंट और सर्वर को धीमे लिंक से अलग करने की क्षमता, ऑफसाइट बैकअप में आसानी, और अन्य सकारात्मक AFSism।

एक चीज जो मुझे विशेष रूप से पसंद है वह है ओपनफ्स पर प्रोडक्शन इंटरनेट-फेसिंग वेब सर्वर चलाना, जिसमें एसीएल नीचे बंद हैं। केर्बरोस टिकट के बिना मशीन पर कोई प्रक्रिया नहीं है - यहां तक ​​कि रूट के रूप में चलने वाला - जो कि फाइलसिस्टम को लिख सकता है। मैं गणना नहीं कर सकता कि हमने कितनी बार देखा है कि हमलों को उस सरल उपाय के कारण पूरी तरह से विफल कर दिया गया है।

कुछ बहुत बड़े ओपनएफ़ उपयोगकर्ता हैं - सबसे बड़ा व्यावसायिक उपयोगकर्ता जो मुझे पता है कि मॉर्गन स्टेनली है।

कैसे OpenAFS के बारे में जो अभी भी जीवित है और इसके तहत एक वीपीएन है क्योंकि इस समय इसका एकमात्र एन्क्रिप्शन डेस है।

मैं देखता हूं कि इस थ्रेड में बहुत से लोग डेटा छिपाने के बारे में बात कर रहे हैं, यानी हमले आपके डेटा को झपटने में सक्षम नहीं हैं। डेटा अखंडता और प्रामाणिकता के बारे में सोचने के लिए भी उतना ही महत्वपूर्ण है। क्या वे nfs पैकेट वास्तव में आपके nfs सर्वर से हैं? क्या एक nfs पैकेट पारगमन में बदल गया?

ठीक है, मेरे लिए यह उन डिस्ट्रीब्यूटेड फाइलसिस्टम में से एक है, जो आपके लिए होगा। मैं काफी ओपनएएफएस की सिफारिश नहीं करना चाहता, क्योंकि यह पुराना है, आईपीवी 6 का समर्थन नहीं करता है, ..

मैं खुद ग्लस्टरएफएस से काफी खुश हूं। चमक काफी परिपक्व है, ठीक प्रदर्शन करती है और इसमें एक अच्छी सुविधा है। हालांकि, जैसा कि हाल ही में आईआरसी में चर्चा की गई है, ग्लस्टर भी स्थिर तरीके से आईपीवी 6 का समर्थन नहीं करता है। यह सुविधा 3.6 या 3.7 के लिए निर्धारित की जाएगी।

HekaFS नामक एक परियोजना भी है, जो Gluster पर निर्मित होती है, जो अधिक उन्नत प्रमाणीकरण सुविधाएँ और SSL जोड़ता है। यह बहुत अच्छी तरह से प्रलेखित है और बहुत अच्छी तरह से डिज़ाइन किया गया है।

आपके लिए क्या ब्याज हो सकता है , यह है XtreemFS , जो वैश्विक ग्रिड कंप्यूटिंग के लिए डिज़ाइन किया गया है, इसलिए यह SSL और डिफ़ॉल्ट रूप से सामान के साथ आता है। उपयोग के लिए मेरी पसंद ग्लस्टर पर गिर गई, हालांकि, समुदाय अधिक सक्रिय लगता है और इस तरह से बेहतर दस्तावेज है।

दोनों निश्चित रूप से सकारात्मक हैं।

मैं NFS का उपयोग करता हूं। लेकिन सर्वर से सर्वर एनएफएस एक समर्पित नेटवर्क बैकबोन पर किया जाता है ताकि एन्क्रिप्शन की आवश्यकता न हो और प्रमाणीकरण व्यर्थ की तरह हो। प्रत्येक निर्यात को केवल IP पर आधारित सर्वर के लिए एक चयनित निर्देशिका को साझा करने के लिए सेट करें।

सभी उचित सम्मान के साथ, आप पूरी तरह से इस समस्या को गलत तरीके से देख रहे हैं और आपको कुछ घंटों के लिए कंसोल से दूर होना चाहिए।

बहुत ज्यादा सारा स्टोरेज io अनएन्क्रिप्टेड है क्योंकि यह एब्सट्रैक्ट स्टैक की परत पर कोई फर्क नहीं पड़ता। मुझे शक है? अपने ब्रोकेड फाइबर स्विच पर एक नल लगाएं और आप देखेंगे कि फाइबर चैनल, जैसे इस्की और एनएफएस, सभी एक अनएन्क्रिप्टेड मेस है - डिजाइन द्वारा। समाधान एक मध्यम समस्या है, न कि भंडारण प्रोटोकॉल समस्या। उदाहरण के लिए, सुरक्षित और एन्क्रिप्टेड nfs चाहते हैं? Ipsec / ssl / tls या एक शुद्ध हार्डवेयर समाधान का उपयोग करके nfs क्लाइंट और सर्वर के बीच इंगित करने के लिए एन्क्रिप्टेड बिंदु एक लैन बनाया गया।