Bezpecny sitovy souborovy system (delsi)
Jakub Maa01 Jirků
maa01 na seznam.cz
Sobota Leden 4 13:59:13 CET 2003
Sat, Jan 04, 2003 at 01:34:48PM +0100, Jan Houstek napsal(a):
> NFS - umi to (alespon v nejake verzi nebo rozsireni) sifrovat data?
> - da se vubec pouzivat tak, aby to pri pripojeni naprosto
> neduveryhodneho klienta bylo bezpecne
NFS je z Vami jmenovanych protokolu asi nejrychlejsi a nejstabilnejsi,
je to lety overeny protokol, ktery ma sice svoje problemy, ale
funguje. Ale jelikoz je to prehistoricka RPC sluzba, tak bezpecna
nebude asi nikdy a prakticky plny pristup k jakymkoliv (samozrejme
vyexportovanym) datum vam staci nabourat jakehokoliv z klientu, takze
v nezabezpefcene siti nic moc.
> AFS - o tom moc nevim, z ruznych stran slysim ruzne nazory, jinak otazky
> stejne jako u NFS
S AFS nemam zkusnosti, ale slysel jsem neco o SFS, coz by melo byt NFS
vylepsene o sifrovani a pristup pomoci asymetricke kryptografie, takze
se spis zamerte timto smerem.
> SAMBA - te bych se radeji vyhnul, sice jsem to nepsal explicitne, ale
> jedna se vylozene o klienta i server na Linuxu a cilem samby jsou
> spise Windows klienti. Navic je tu ona potiz s vykonem, malo
> efektivne napsany smbfs atd.
S tim souhlasim, pri soucasnem stavu smbfs ma sambra takovy overhead,
o jakem se vam nesnilo :)
> FTPFS, SSHFS apod. - tohle povazuju za bastly, ale zadnou zkusenost s
> tim nemam, takze je mozne, ze to neni uplne spatny
> napad
Nezkousel jsem, kazdopadne jednoduchy protokol jako ftp, by mel mit
velmi maly overhead. Chtelo by to vyzkouset.
Dal bych vam mohl doporucit Intermezzo. Je sice trochu zvlastni a
vyzaduje na obou stranach userspace demona, ale prislo mi docela
rychle a vzhledem k tomu, ze je to dost neznamy protokol, tak i kdyz
ho nekdo odposlechne, tak mu pravdepodobne nikdo nerozumi, navic
zkompilovat onoho userspace demona je natolik obizne (ja jsem se s tim
zabyvat skoro tyden), ze se vam na to pripadny hacker nejspise
vykasle.
Pak je tady jeste CODA, ale tu bych vam vzhedem k tomu, ze jediny
zpusob jak ji skoubit s unixovymi pravy a uzivately je kerberos,
prilis nedoporucoval. Na druhou stranu, je diky tomu dost bezpecna.
> Protokoly, ktere neumi samy o sobe sifrovat hodlam protahnout pres
> stunnel, forwardovani portu pres ssh nebo VPN (asi cipe), coz opet dava
> vzniknout nekolika otazkam (napr. lze provozovat NFS pres stunnel?, jak
> velky overhead ma VPN? atd.)
NFS pres stunnel vzhledem k tomu, ze je to RPC sluzba a tudiz muze
bezet na jakemkoliv portu asi nespustite. VPNka nemaji overhead prilis
velky, ale dost zatezuji stroj na kterem bezi. Spis vam doporucuji
pozuit ipsec.
> Mate-li s necim podobnym prakticke zkusenosti, budu vdecny za odpovedi.
>
> -- Honza Houstek
--
Jakub Maa01 Jirků <maa01 na seznam.cz>
<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> well, you can stil get one from a strange country :-P
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030104/e55bc253/attachment.sig>
Další informace o konferenci Linux