Ich habe einen Debian-NFS-Server in einem internen Netzwerk, den ich vor Änderungen durch böswillige Agenten schützen möchte. Ich möchte etwas Stärkeres als Firewall-Regeln pro IP oder pro Mac. Die Clients sind alle Linux.
Soweit ich es bisher gelesen/überflogen habe, erfordert die Verwendung von Kerberos mit NFS eine Authentifizierung pro Benutzer, was wiederum erfordert, dass sich Benutzer über das KDC anmelden. Einige Benutzer des Servers sind mobil, daher ist dies keine attraktive Option.
Ich habe die Option eines VPN bisher nicht in Betracht gezogen, hauptsächlich aufgrund der Auswirkungen auf die Leistung.
Was ist der einfachste Weg, das oben genannte zu erreichen?
Beachten Sie, dass es mir nicht besonders darum geht, das Ausspionieren des Netzwerkverkehrs zu verhindern, sondern nur darum, Daten zu ändern.
Antwort1
Es gibt ist schönArtikelvon Charles Fisher zur Verwendung von Stunnel zum Schutz von NFS-Verkehr. Mit einem gegenseitigen TLS-Handshake (Client- und Server-Zertifikate) erhalten Sie IP-unabhängigen Schutz.
Inspiriert von diesem Dokument hat die NFS-Arbeitsgruppe der IETF das NFS-over-TLS-Projekt gestartet, das sich derzeit in der Entwicklung befindet und von zahlreichen NFS-Client/Server-Implementierungen gekrönt wird.