我在內部網路上有一個 debian NFS 伺服器,我想保護它免受惡意代理的修改。我想要比按 IP 或按 Mac 防火牆規則更強大的規則。客戶端都是linux的。
從我目前閱讀/瀏覽的內容來看,將 kerberos 與 NFS 結合使用需要每位使用者身份驗證,而這又需要使用者透過 KDC 登入。伺服器的一些用戶是行動用戶,因此這是一個沒有吸引力的選項。
到目前為止,我還沒有選擇 VPN,主要是因為效能影響。
實現上述目標最簡單的方法是什麼?
請注意,我並不太關心防止嗅探網路流量,只關心資料的修改。
答案1
有就是不錯文章Charles Fisher 介紹如何使用 stunnel 保護 NFS 流量。透過相互 TLS 握手(客戶端+伺服器憑證),您可以獲得獨立於 IP 的保護。
受該文件的啟發,IETF nfs 工作小組啟動了 NFS-over-TLS 項目,該項目目前正在開發中,並已被許多 nfs 用戶端/伺服器實作所採用。