Tengo un servidor Debian NFS en una red interna que quiero proteger de modificaciones por parte de agentes maliciosos. Quiero algo más fuerte que las reglas de firewall por IP o por Mac. Todos los clientes son Linux.
Por lo que he leído/hojeado hasta ahora, el uso de Kerberos con NFS requiere autenticación por usuario, lo que a su vez requiere que los usuarios inicien sesión a través del KDC. Algunos usuarios del servidor son móviles, por lo que esta es una opción poco atractiva.
Hasta ahora no he optado por una VPN, principalmente debido a las implicaciones en el rendimiento.
¿Cuál es la forma más sencilla de lograr lo anterior?
Tenga en cuenta que no me preocupa demasiado evitar el rastreo del tráfico de la red, solo la modificación de los datos.
Respuesta1
hay es lindoartículode Charles Fisher sobre cómo utilizar stunnel para proteger el tráfico NFS. Con un protocolo de enlace TLS mutuo (certificados de cliente+servidor) puede obtener protección IP independiente.
Inspirándose en ese documento, el grupo de trabajo de nfs del IETF inició el proyecto NFS-over-TLS que actualmente se encuentra en desarrollo y que es liderado por muchas implementaciones de cliente/servidor de nfs.