Eu tenho um servidor NFS debian em uma rede interna, que desejo proteger contra modificações por agentes maliciosos. Quero algo mais forte do que regras de firewall por IP ou por Mac. Os clientes são todos Linux.
Pelo que li/foi até agora, o uso de Kerberos com NFS requer autenticação por usuário, que por sua vez exige que os usuários façam login por meio do KDC. Alguns usuários do servidor são móveis, então esta é uma opção pouco atraente.
Até agora não busquei uma VPN como opção, principalmente devido às implicações de desempenho.
Qual é a maneira mais simples de conseguir o que foi dito acima?
Observe que não estou muito preocupado em evitar a detecção de tráfego de rede, apenas com a modificação de dados.
Responder1
Existe é legalartigopor Charles Fisher sobre como usar o stunnel para proteger o tráfego NFS. Com um handshake TLS mútuo (certificados cliente + servidor), você pode obter proteção independente de IP.
Inspirado por esse documento, o grupo de trabalho nfs da IETF iniciou o projeto NFS-over-TLS que atualmente está em desenvolvimento e é complementado por muitas implementações cliente/servidor nfs.