Клиент NFS для Win10 — убийца SAMBA?

Клиент NFS для Win10 — убийца SAMBA?

Наконец-то нам удалось перевести последних из наших непокорных пользователей Windows 7 на Windows 10 благодаря недавнему прекращению поддержки первой версии компанией MS, так что теперь все предприятие работает либо на Ubuntu 18.04, либо на Windows 10.

Поскольку в Windows 10 есть клиент NFS, теперь возникает вопрос, стоит ли отказываться от SAMBA в пользу NFS.

В частности, есть ли какие-либо причины сохранять SAMBA теперь, когда все наши клиенты Windows поддерживают NFS?

решение1

SMB 3.xx имеет более высокую производительность по сравнению с «обычным» TCP-подключением и обладает такими функциями, как RDMA и многоканальность, которые Microsoft не реализовала в «своем» (на самом деле — лицензированном) клиенте NFS.

решение2

Server Message Block (SMB), протокол, используемый программным обеспечением Samba, может быть более легко развернут с достаточной безопасностью. Сетевая файловая система, сокращенно NFS, в шутку называется "No File Security". Это шутливое название, но "No File-Level Security" может быть названием с некоторыми точными последствиями. Другими словами, безопасность NFS основана на совместном использовании раздела, а не отдельного файла, поэтому разрешения на уровне файлов не применяются протоколом NFS.

Из того, что я прочитал, NFS-сервер может обращать внимание на файлы и отклонять недействительные запросы. Однако не все программное обеспечение NFS будет делать это. Протокол, как правило, заставляет клиента запрашивать блок данных на диске, и сервер может выполнить этот запрос, прочитав блок с диска, не обязательно обращая внимание на то, частью какого файла является этот блок.

Даже если вы обнаружили, что реализация NFS безопасна, что предотвращает возможность изменения в будущем, которое приведет к менее безопасной реализации/развертыванию NFS? Если у вас есть проблемы с безопасностью, то ответ на такой вопрос может быть очень полезным.

С SMB люди делятся каталогами, а не разделами. Это может помочь вам быть уверенным, что вы делитесь именно тем каталогом, который вам нужен, а не другими каталогами, которые находятся в другой части иерархии диска.

Редактировать: Вот и новый претендент. В комментарии к этому ответу было заявлено, что это не по теме. Поэтому я поискал проверенную временем документацию, которая поможет это подтвердить. И я легко нашел материал, подтверждающий заявления из моего ответа:

Прежде всего,«Secure Networks Inc.» опубликовала «Совет по безопасности» от 7 марта 1997 года под названием «4.4BSD NFS File Handles». (Эта гиперссылка с сайта OpenBSD:Архив почтовой рассылки SecList.org BugTraq за 1997 год: дескрипторы файлов NFS 4.4BSDпоказывает то же самое, что было опубликовано в старом списке рассылки, но добавляет заголовок. PacketStormSecurity: Консультации по файлам SNI BSDтакже показывает тот же документ.)

В этой статье обсуждается блочная природа того, как NFS обслуживает данные (и, вероятно, именно она является источником моего понимания этой конкретной уязвимости).

Этот документ был размещен несколькими организациями. Вот другой отчет, по-видимому, совершенно не связанный с этим документом: части«Почему NFS отстой», автор «Олаф Кирх» из «SUSE/Novell Inc.»[email protected]сказать:

"NFS не волнует, экспортируете ли вы reiser, ext3 или XFS, CD или DVD. Прямым следствием этого является то, что NFS требуется довольно общий механизм для идентификации объектов, находящихся в файловой системе". ... "Только сервер должен понимать внутренний формат дескриптора файла". ... "Linux представил концепцию кэша каталогов, также известного как dcache. Запись в dcache называется dentry" ... "практически все функции на уровне VFS ожидают dentry в качестве аргумента вместо (или в дополнение к) объекта inode, который они использовали". "Это сделало ситуацию интересной для сервера NFS, поскольку информации inode больше недостаточно для создания чего-либо, с чем слой VFS готов работать" ... "злоумышленники могут перехватить пакет с действительными учетными данными и подделать запрос NFS для выполнения своих собственных гнусных поручений".

Что касается моего заявления о прозвище, https://news.ycombinator.com/item?id=10967064резервные копии:

В 1987 году среди инженеров Sun было общеизвестно, что NFS означает «No File Security» (никакой файловой безопасности).

На первом экране показано несколько различных уязвимостей, включая доверие кому-либо на основе имени хоста, сообщенного клиентским компьютером.

Google Books: цитируемый материал из «Практического руководства по Ubuntu Linux»примечания:

Безопасность NFS по умолчанию находится на минимальном уровне или вообще отсутствует (распространенная шутка гласит, что NFS означает No File Security или Nightmare File System), поэтому не следует разрешать такой доступ за пределами вашей сети к машинам, которым вы не доверяете.

Раздел eTutorials.org о конфигурации NFSпримечания:

Если вы монтируете свои файловые системы через Интернет, передаваемые файлы могут быть вмешаться и даже изменены в любое время (некоторые шутят, что NFS — это сокращение от «No File Security» (от «нет безопасности файлов»).

Связанный контент