Может кто-нибудь нюхать NFS через интернет?


28

Я хочу подключиться к своему домашнему серверу с работы, используя NFS. Я пробовал sshfs, но некоторые люди говорят, что это не так надежно, как NFS.

Я знаю, что трафик sshfs зашифрован. Но как насчет NFS? Может ли кто-нибудь понюхать мой трафик и просмотреть файлы, которые я копирую?

Я использую NFSv4 в своей локальной сети, и он прекрасно работает.


Кто такие «некоторые люди» и что именно они говорят?
Жиль "ТАК - перестань быть злым"

NFS является протоколом блочного уровня и чувствителен к задержке. Обычно он используется с UDP, поэтому у вас могут быть проблемы с брандмауэром. Может использоваться с TCP. Я ожидаю, что производительность не будет очень хорошей.
Кит

Спасибо за ответы, ребята. Я думаю, что буду придерживаться sshfs вне дома, но nfs, когда нахожусь в локальной сети.
Томас

3
@Keith NFS - это протокол уровня файлов. iSCSI, AoE - это протоколы блочного уровня, но не NFS.

2
SSHFS - действительно путь. Скорость практически не зависит от того, что вы получаете в своем восходящем / нисходящем интернет-соединении, издержки ssh незначительны. И преимущества шифрования, а также использование открытых / закрытых ключей и ssh-agent для аутентификации имеют большое значение.
Робин ван Леувен,

Ответы:


24

Если вы используете NFSv4 с sec=krb5p, то это безопасно. (Это означает использование Kerberos 5 для аутентификации и шифрование соединения для конфиденциальности.) Но если вы используете NFS v3 или NFS v4 с sys=system, то нет, это совсем не безопасно.

Также может возникнуть некоторая обеспокоенность в связи с тем, что порты kerberos и rpc будут доступны в Интернете в целом на случай неизвестных уязвимостей.


Спасибо. Только одно. Эта опция настроена на стороне сервера?
Томас

1
@Tomas: это согласовано, и сервер и клиент оба имеют возможность. Если вы хотите ограничить только безопасные соединения, то определенно только перечислите sec = krb5p в опциях экспорта.
Mattdm

Некоторое беспокойство - преуменьшение. Кто достаточно безумен, чтобы использовать NFs в Интернете в целом без туннелирования?
Руи Ф Рибейро

16

Сама NFS, как правило, не считается безопасной - использование параметра kerberos, как предлагает @matt, является одним из вариантов, но лучше всего, если вам нужно использовать NFS, это использовать защищенный VPN и запускать NFS поверх этого - таким образом вы по крайней мере защитите небезопасный файловая система из Интернета - разумеется, если кто-то нарушает вашу VPN, вы эффективно широко открыты, но в любом случае это будет обычный сценарий.


3

Я не знаю, кто такие люди, но я не согласен с ними вообще. sshfsсоставляет около 99% скорости NFS (проверено) и намного более надежный. Он несет в себе способность sshобрабатывать нестабильную природу интернет-трафика, не опускаясь, что на NFS вы бы висели с устаревшими файловыми дескрипторами.

Я использовал sshfs для монтирования своего домашнего каталога на своем ящике в Нью-Йорке из Сан-Хосе и оставался на связи и работал в течение 3 дней непрерывного перемещения данных без сбоев.

Попробуйте, вам понравится.


5
У SSHFS есть некоторые важные недостатки. Сверху головы, нет поддержки блокировки файлов. Это может привести к неприятностям в многопользовательской среде - хотя вы, вероятно, будете в порядке, если вы просто обращаетесь к своему домашнему каталогу. SSHFS также не очень терпим к ненадежным сетевым соединениям. Это не означает, что NFS тоже нравится отключаться, но, похоже, лучше восстанавливаться без полного демонтажа удаленной файловой системы.
Тревор Джонс

2
Скорость зависит. Я использую OpenWRT на Archer C7, и NFS работает в пять раз быстрее, чем sshfs.
Sparhawk

2
«Скорость зависит. Я запускаю OpenWRT на Archer C7», потому что sshfs привязан к процессору, в некоторой степени шифрование выполняется на процессоре. Итак, если вы подключаете рабочую станцию ​​к рабочей станции, все должно быть в порядке ... маршрутизаторы с MIPS или ARM не нужны.
thecarpy
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.