MS가 최근 Windows 10에 대한 지원을 철회한 덕분에 마침내 반항적인 Windows 7 사용자 중 마지막 Windows 10을 사용할 수 있게 되었으며 이제 전체 기업은 Ubuntu 18.04 또는 Windows 10이 되었습니다.
Windows 10에는 NFS 클라이언트가 있으므로 이제 문제는 NFS를 위해 SAMBA를 버릴지 여부입니다.
특히 모든 Windows 클라이언트가 NFS를 지원하므로 SAMBA를 유지해야 할 이유가 있습니까?
답변1
SMB 3.xx는 "일반" TCP 연결에 비해 더 잘 조정된 성능을 제공하며 Microsoft가 "그들의"(실제로 라이센스가 부여된) NFS 클라이언트로 구현하지 않은 RDMA 및 다중 채널 지원과 같은 기능을 갖추고 있습니다.
답변2
Samba 소프트웨어에서 사용하는 프로토콜인 SMB(서버 메시지 블록)는 충분한 보안을 통해 보다 쉽게 배포될 수 있습니다. NFS로 약칭되는 네트워크 파일 시스템은 농담으로 "파일 보안 없음"이라고 불립니다. 농담하는 이름이지만 "파일 수준 보안 없음"은 정확한 의미를 지닌 이름일 수 있습니다. 즉, NFS 보안은 개별 파일이 아닌 파티션 공유를 기반으로 하므로 NFS 프로토콜은 파일 수준 권한을 적용하지 않습니다.
내가 읽은 바에 따르면 NFS 서버가 파일에 주의를 기울이고 잘못된 요청을 거부하는 것이 가능합니다. 그러나 모든 NFS 소프트웨어가 그렇게 하는 것은 아닙니다. 프로토콜은 클라이언트가 드라이브에 있는 데이터 블록을 요청하도록 하는 경향이 있으며, 서버는 해당 블록이 어떤 파일의 일부인지에 반드시 주의를 기울일 필요 없이 디스크에서 블록을 읽어 해당 요청을 이행할 수 있습니다.
NFS 구현이 안전하다는 사실을 알게 되더라도 향후 변경으로 인해 NFS 구현/배포의 보안이 저하될 가능성을 방지하는 방법은 무엇입니까? 보안 문제가 있는 경우 해당 질문에 대한 답변을 얻는 것이 매우 가치 있을 수 있습니다.
SMB를 사용하면 사람들은 파티션이 아닌 디렉터리를 공유합니다. 이렇게 하면 드라이브 계층 구조의 다른 부분에 있는 다른 디렉터리가 아닌 원하는 디렉터리만 공유하고 있다는 확신을 갖는 데 도움이 됩니다.
편집: 여기에 새로운 도전자가 등장합니다. 이 답변에 대한 의견은 이것이 목표를 벗어났다고 주장했습니다. 그래서 저는 이를 뒷받침하는 데 도움이 되는 유서 깊은 문서를 찾았습니다. 그리고 내 답변에서 주장을 뒷받침하는 자료를 쉽게 찾았습니다.
맨 먼저,"시큐어네트웍스(주)" 1997년 3월 7일 "4.4BSD NFS 파일 핸들"이라는 제목의 "보안 권고"를 게시했습니다.. (해당 하이퍼링크는 OpenBSD 웹사이트에서 가져온 것입니다:SecList.org BugTraq 메일링 리스트 아카이브(1997년): 4.4BSD NFS 파일 핸들이전 메일링 리스트의 일부로 게시된 것과 동일한 내용을 표시하지만 헤더를 추가합니다. PacketStormSecurity: SNI BSD 파일 처리 권고같은 문서도 보여줍니다.)
이 기사에서는 NFS가 데이터를 제공하는 방식의 블록 기반 특성에 대해 설명합니다(이 특정 취약점에 대한 이해의 원천이 될 가능성이 높습니다).
해당 문서는 여러 조직에서 호스팅되었습니다. 다음은 해당 문서와 전혀 관련이 없는 것으로 보이는 다른 보고서입니다."NFS가 형편없는 이유" - "SUSE/Novell Inc."의 "Olaf Kirch" 저[이메일 보호됨]말하다:
"NFS는 내보내는 것이 라이저인지, ext3인지 XFS인지, CD인지 DVD인지 상관하지 않습니다. 이에 대한 직접적인 결과는 NFS가 파일 시스템에 있는 개체를 식별하기 위해 상당히 일반적인 메커니즘이 필요하다는 것입니다." ... "오직 서버만이 파일 핸들의 내부 형식을 이해하면 됩니다." ... "Linux는 dcache라고도 불리는 디렉터리 캐시 개념을 도입했습니다. dcache의 항목을 dentry라고 합니다." ... "사실상 VFS 계층의 모든 기능은 dentry를 대신(또는 추가로) 인수로 기대합니다. to) 그들이 사용했던 inode 객체." "이것은 NFS 서버에 흥미로운 일이 되었습니다. VFS 계층이 작동하려는 무언가를 생성하는 데 더 이상 inode 정보가 충분하지 않기 때문입니다." ... "공격자가 유효한 자격 증명으로 패킷을 가로채서 NFS 요청을 처리할 수 있습니다. 그들 자신의 사악한 입찰."
별명에 대한 나의 주장에 관해서는, https://news.ycombinator.com/item?id=10967064백업:
1987년에는 NFS가 "파일 보안 없음"을 의미한다는 것이 Sun 엔지니어들 사이에 상식이었습니다.
첫 번째 화면에는 클라이언트 컴퓨터에서 보고한 호스트 이름을 기반으로 누군가를 신뢰하는 것을 포함하여 몇 가지 다른 취약점이 나타납니다.
Google Books: "A Practical Guide to Ubuntu Linux"에서 인용된 자료노트:
기본 NFS 보안은 미미하거나 존재하지 않습니다(NFS는 No File Security(파일 보안 없음) 또는 Nightmare File System(악몽 파일 시스템)을 의미한다는 농담이 있습니다). 따라서 네트워크 외부에서 신뢰하지 않는 시스템에 대한 액세스를 허용해서는 안 됩니다.
NFS 구성에 대한 eTutorials.org 섹션노트:
인터넷을 통해 파일 시스템을 마운트하면 전송된 파일이 언제든지 방해를 받을 수 있으며 심지어 변조될 수도 있습니다(어떤 사람들은 NFS가 "No File Security"의 약자라고 농담합니다).