Bezpecny sitovy souborovy system (delsi)
Jan Houstek
jan.houstek na st.ms.mff.cuni.cz
Sobota Leden 4 13:34:48 CET 2003
Resim nasledujici problem. Potrebuju z internetoveho serveru zpristupnit
docela rozsahla data a jako idealni se jevi stav, kdy by na klientech bylo
mozne prislusne exporty namountovat. Veskery prenos (vcetne prenosu dat)
musi byt sifrovany, klient se musi pred pristupem autentizovat a melo by
to byt v ramci moznosti i efektivni (tedy ne jako samba server + smbmout,
kde pres crossover kabel mezi 100M sitovkami dosahnu rychlost uzasnych
5 MB/s nebo nejake bastly, ktere sice funguji, ale realna prenosova
rychlost je zlomkem kapacity linky). Samozrejme, nesmi se to sesypat pri
soucasnem pristupu vice klientu k jednomu souboru.
V teto oblasti se prilis neorientuju, ale napadaji me priblizne tyto
moznosti:
NFS - umi to (alespon v nejake verzi nebo rozsireni) sifrovat data?
- da se vubec pouzivat tak, aby to pri pripojeni naprosto
neduveryhodneho klienta bylo bezpecne
AFS - o tom moc nevim, z ruznych stran slysim ruzne nazory, jinak otazky
stejne jako u NFS
SAMBA - te bych se radeji vyhnul, sice jsem to nepsal explicitne, ale
jedna se vylozene o klienta i server na Linuxu a cilem samby jsou
spise Windows klienti. Navic je tu ona potiz s vykonem, malo
efektivne napsany smbfs atd.
FTPFS, SSHFS apod. - tohle povazuju za bastly, ale zadnou zkusenost s
tim nemam, takze je mozne, ze to neni uplne spatny
napad
Protokoly, ktere neumi samy o sobe sifrovat hodlam protahnout pres
stunnel, forwardovani portu pres ssh nebo VPN (asi cipe), coz opet dava
vzniknout nekolika otazkam (napr. lze provozovat NFS pres stunnel?, jak
velky overhead ma VPN? atd.)
Mate-li s necim podobnym prakticke zkusenosti, budu vdecny za odpovedi.
-- Honza Houstek
Další informace o konferenci Linux