内部ネットワークに Debian NFS サーバーがあり、悪意のあるエージェントによる変更から保護したいと考えています。IP ごとまたは Mac ごとのファイアウォール ルールよりも強力なものが必要です。クライアントはすべて Linux です。
これまでに読んだりざっと読んだりした内容からすると、NFS で Kerberos を使用するにはユーザーごとの認証が必要であり、そのためにはユーザーが KDC 経由でログインする必要があります。サーバーのユーザーの中にはモバイル ユーザーもいるので、これは魅力的なオプションではありません。
これまでのところ、主にパフォーマンスへの影響のため、VPN をオプションとして検討していません。
上記を実現する最も簡単な方法は何でしょうか?
注意: 私はネットワーク トラフィックのスニッフィングを防止することにはあまり関心がなく、データの変更のみに関心があります。
答え1
いいですね記事Charles Fisher による、NFS トラフィックを保護するための stunnel の使用方法。相互 TLS ハンドシェイク (クライアント + サーバー証明書) を使用すると、IP に依存しない保護を実現できます。
この文書に触発されて、IETF NFS ワーキング グループは NFS-over-TLS プロジェクトを開始しました。このプロジェクトは現在開発中であり、多くの NFS クライアント/サーバー実装によって採用されています。