Bezpecny sitovy souborovy system (delsi)

[Jan Houstek]

Resim nasledujici problem. Potrebuju z internetoveho serveru zpristupnit
docela rozsahla data a jako idealni se jevi stav, kdy by na klientech bylo
mozne prislusne exporty namountovat. Veskery prenos (vcetne prenosu dat)
musi byt sifrovany, klient se musi pred pristupem autentizovat a melo by
to byt v ramci moznosti i efektivni (tedy ne jako samba server + smbmout,
kde pres crossover kabel mezi 100M sitovkami dosahnu rychlost uzasnych
5 MB/s nebo nejake bastly, ktere sice funguji, ale realna prenosova
rychlost je zlomkem kapacity linky). Samozrejme, nesmi se to sesypat pri
soucasnem pristupu vice klientu k jednomu souboru.

V teto oblasti se prilis neorientuju, ale napadaji me priblizne tyto
moznosti:

NFS - umi to (alespon v nejake verzi nebo rozsireni) sifrovat data?
    - da se vubec pouzivat tak, aby to pri pripojeni naprosto
      neduveryhodneho klienta bylo bezpecne

AFS - o tom moc nevim, z ruznych stran slysim ruzne nazory, jinak otazky
      stejne jako u NFS

SAMBA - te bych se radeji vyhnul, sice jsem to nepsal explicitne, ale
        jedna se vylozene o klienta i server na Linuxu a cilem samby jsou
        spise Windows klienti. Navic je tu ona potiz s vykonem, malo
	efektivne napsany smbfs atd.

FTPFS, SSHFS apod. - tohle povazuju za bastly, ale zadnou zkusenost s
		     tim nemam, takze je mozne, ze to neni uplne spatny
		     napad

Protokoly, ktere neumi samy o sobe sifrovat hodlam protahnout pres
stunnel, forwardovani portu pres ssh nebo VPN (asi cipe), coz opet dava
vzniknout nekolika otazkam (napr. lze provozovat NFS pres stunnel?, jak
velky overhead ma VPN? atd.)

Mate-li s necim podobnym prakticke zkusenosti, budu vdecny za odpovedi.

-- Honza Houstek