내부 네트워크에 Debian NFS 서버가 있는데, 악의적인 에이전트의 수정으로부터 보호하고 싶습니다. 나는 IP별 또는 Mac별 방화벽 규칙보다 더 강력한 것을 원합니다. 클라이언트는 모두 리눅스입니다.
지금까지 읽거나 훑어본 내용에 따르면 NFS와 함께 kerberos를 사용하려면 사용자별 인증이 필요하며, 이를 위해서는 사용자가 KDC를 통해 로그인해야 합니다. 서버의 일부 사용자는 모바일이므로 이는 매력적이지 않은 옵션입니다.
나는 지금까지 성능에 미치는 영향 때문에 VPN을 옵션으로 추구하지 않았습니다.
위의 내용을 달성하는 가장 간단한 방법은 무엇입니까?
참고로 저는 네트워크 트래픽 스니핑을 방지하는 데에는 크게 관심이 없으며 데이터 수정에만 관심이 있습니다.
답변1
있다 좋은데기사NFS 트래픽을 보호하기 위해 Stunnel을 사용하는 방법에 대한 Charles Fisher의 글입니다. 상호 TLS 핸드셰이크(클라이언트+서버 인증서)를 사용하면 IP 독립적 보호를 얻을 수 있습니다.
해당 문서에서 영감을 받아 IETF nfs 작업 그룹은 현재 개발 중이며 많은 nfs 클라이언트/서버 구현을 채택한 NFS-over-TLS 프로젝트를 시작했습니다.