Linux用のセキュアネットワークファイルシステム：人々は何をしているのですか？

NFSv3は広く普及していますが、デフォルトのセキュリティモデルは... quaintです。CIFSはKerberos認証を使用できますが、POSIXセマンティクスがなければ、スターターではありません。AFSは有線のトラフィックを暗号化したことはなく、krb4であり、基本的には無効なプロジェクトです。新しくて実験的なファイルシステムは、具体化されないか、速度に重点を置いています（幸運な場合、データの信頼性）。たとえば、LustrはNFSv3と同じクライアント信頼モデルを使用します。家庭で使用する場合、sshfsは気の利いたものですが、それは確かにスケールしません。

そしてもちろん、sec = krb5pのNFSv4もあります。理論的には素晴らしいが、10年後、現実の世界では厄介なことに使われていないようだ。Linuxクライアントがいる今取り除か実験タグを持っていました。また、EMC Celerra、Isilonなどを見ると、すべてNFSv3です。（Celerraのは、NFSv4のをサポートしていますが、それはです本当にドキュメントに埋葬。アイシロンは明らかにので、多分それは来る、FreeBSDへRPCGSSのサポートを追加することで働いていたが、それは今はありません。）私ので、私も「NFSv4の」として、この記事にタグを付けることはできませんここで新しい、それは新しいタグになります。

だから、本当に。みんな何してるの？

それは特定の質問（皆さん、何をしていますか）なので、答えましょう：何もありません。ほとんどの管理者とユーザーは、NFSセキュリティについて心配しないので、誰もがNFSv3を使用しています。通常、これは制御された環境です（最初によく知られているマシンだけがネットワークに接続できるという意味で）。誰かがインフラストラクチャを悪用するのに巻き込まれた場合、解雇されたり投獄されたりします。

データの場合、あなたはそれを本当にあなたは、明示的に例えばFirefoxのパスワードデータベース、SSHキー、またはPGPキーをそれらを暗号化し、誰でも読むことができるようにしたくありません。これは、管理者がファイルサーバーでそれらを読み取ることができることを知っているためです。ネットワークファイルシステムのセキュリティは、とにかく役に立ちません。

ここで2つの質問をしているようです。

実際に何を使用していますか？そしてこれは何ですか？

何を私は実際に使用すると、私は何の問題もありませんでしたので、POSIXはそれほど重要ではない私のユースケースでは、CIFSあります。NFS3は、SLESインストールサーバーなど、セキュリティが重要でない分野で使用されます。最後に、シンプルなユーザーランド共有のためのsshfs / gvfs。有線の暗号化は必要ないと考えられているので、それは私たちにとって意味のある要素ではありません。

他の質問に関しては、あなたが探しているものには6つの主要な要件があるようです：

1. ワイヤ上のトラフィックを暗号化します。
2. 認証を暗号化します。
3. Posixセマンティクス。
4. サーバーベースのACLの強力な実施。
5. ユーザーランドではありません。
6. 実際に使用されています。

ここでポイント5と6がキラーになると思いますが、ここに行きます（また、これはテーブルが本当に便利なポイントですが、markdown / StackExchangeはそれをサポートしていません）。

NFSv3 + IPSec

1. ワイヤー上で暗号化され、合格
2. 暗号化された認証なし、失敗
3. Posixセマンティクス、パス
4. サーバーベースのACLの強力な施行なし、失敗
5. ユーザーランドではありません
6. 実際に使用される、渡す

NFSv4 + Krb + IPSec

1. ワイヤー上で暗号化され、合格
2. 暗号化された認証、パス
3. Posixセマンティクス、パス
4. サーバーベースのACLの強力な実施、合格
5. ユーザーランドではありません
6. 実際に使用されていない、失敗する

CIFS

1. ワイヤ上で暗号化されていない、失敗
2. 暗号化された認証
3. Posixセマンティクス、パス（SambaとKernel、WindowsはNTの時代からPosixレイヤーを持っています）
4. サーバーベースのACLの強力な実施、合格
5. ユーザーランドではありません
6. 実際に使用される、渡す

CIFS + IPSec

1. ワイヤー上で暗号化され、合格
2. 暗号化された認証
3. Posixセマンティクス、パス（Samba＆Kernel now）
4. サーバーベースのACLの強力な実施、合格
5. ユーザーランドではありません
6. 実際に使用されていない、失敗する

SSHFS

1. ワイヤー上で暗号化され、合格
2. 暗号化された認証、パス
3. Posixセマンティクス、パス
4. サーバーベースのACLの強力な実施、合格
5. ユーザーランドです、失敗します
6. 実際に使用される、渡す

AFP / NetATalk

1. ワイヤ上で暗号化され、失敗する
2. 暗号化された認証、パス
3. Posixセマンティクス、パス
4. サーバーベースのACLの強力な実施、合格
5. ユーザーランドではありません
6. 実際に使用される、失敗する

そして、私はそこにある分散ファイルシステムには触れていません。すべてを実行する単一のことはありません。いくつかは近くに来て（CIFS）、いくつかは既にそこにありますが、誰もそれらを使用しません（NFS4 + IPSec、CIFS + IPSec）。何らかの理由で、安全なネットワークファイルシステムは、長年にわたって多くの妥協にさらされてきたものです。

LinuxおよびWindowsクライアントの両方で、長年にわたって実稼働環境でopenafsを使用しています。うまく機能し、活発な開発コミュニティがあり、さまざまなLinuxディストリビューションにパッケージが含まれているため、ここ数年でインストールと管理がはるかに簡単になりました。欠点はありますが、管理の柔軟性の向上、低速リンクでクライアントとサーバーを分離する機能、オフサイトバックアップの容易さ、その他の積極的なAFSismによって相殺されることがわかりました。

特に気に入っているのは、ACLがロックされた状態で、openafで実稼働のインターネットに接続したWebサーバーを実行していることです。Kerberosチケットがなければ、ファイルシステムに書き込むことができるプロセス（ルートとして実行されているマシンであっても）はありません。その単純な対策のために、攻撃が完全に失敗したことに気づいた回数は数えられません。

かなり大きなopenafsユーザーがいます。私が知っている最大の商用ユーザーはMorgan Stanleyです。

現時点で唯一の暗号化がDESであるため、まだ稼働しているOpenAFSとその下のVPNはどうでしょうか。

このスレッドの多くの人々がデータ隠蔽、つまり攻撃がデータを覗き見ることができないことについて話していることがわかります。データの整合性と信頼性について考えることも同様に重要です。これらのnfsパケットは本当にnfsサーバーからのものですか？NFSパケットは送信中に変更されましたか？

まあ、私にとっては、それらの分散ファイルシステムの1つがあなたのためだと思われます。OpenAFSは古く、まだIPv6をサポートしていないため、お勧めしたくありません。

私はGlusterFSにとても満足しています。Glusterは非常に成熟しており、正常に機能し、優れた機能セットを備えています。ただし、最近IRCで説明したように、GlusterはIPv6を安定した方法でサポートしていません。この機能は、3.6または3.7に予定されています。

HekaFSと呼ばれるプロジェクトもあります。これはGlusterに基づいており、より高度な認証機能とSSLを追加します。これは非常によく文書化され、非常によく設計されています。

あなたが興味を持っているのは、グローバルグリッドコンピューティング向けに設計されたXtreemFSです。そのため、デフォルトでSSLなどが付属しています。しかし、コミュニティはより活発で、文書化されているので、Glusterを使用することを選択しました。

どちらももちろんposixに準拠しています。

NFSを使用します。ただし、サーバー間NFSは専用のネットワークバックボーンを介して行われるため、暗号化は不要であり、認証は無意味です。IPに基づいてサーバーと選択ディレクトリのみを共有するように各エクスポートを設定するだけです。

すべての敬意を払って、あなたはこの問題を間違った方法で完全に見ているので、数時間コンソールから離れなければなりません。

ストレージioは、抽象化スタックのそのレイヤーでは重要ではないため、ほとんどすべての暗号化されていません。疑わしい？ブロケードのファイバースイッチをタップすると、iscsiやnfsのように、ファイバーチャネルがすべて暗号化されていない混乱であることがわかります。これは中程度の問題であり、ストレージプロトコルの問題ではありません。たとえば、安全で暗号化されたnfsが必要ですか？ipsec / ssl / tlsまたは純粋なハードウェアソリューションを使用して、nfsクライアントとサーバー間のポイントツーポイントで暗号化されたLANを作成しました。