У меня есть сервер Debian NFS во внутренней сети, который я хочу защитить от модификации вредоносными агентами. Мне нужно что-то более сильное, чем правила брандмауэра per-IP или per-mac. Все клиенты — Linux.
Из того, что я прочитал/просмотрел до сих пор, использование Kerberos с NFS требует аутентификации для каждого пользователя, что в свою очередь требует входа пользователей через KDC. Некоторые пользователи сервера мобильны, так что это непривлекательный вариант.
До сих пор я не рассматривал VPN как вариант, в основном из-за влияния на производительность.
Какой самый простой способ достичь вышеперечисленного?
Обратите внимание, меня не слишком волнует предотвращение перехвата сетевого трафика, меня интересует только модификация данных.
решение1
Есть хорошийстатьяЧарльз Фишер о том, как использовать Stunnel для защиты трафика NFS. С помощью взаимного рукопожатия TLS (сертификаты клиент+сервер) вы можете получить независимую от IP защиту.
Вдохновленная этим документом рабочая группа IETF nfs начала проект NFS-over-TLS, который в настоящее время находится в стадии разработки и на котором основано множество клиент-серверных реализаций nfs.