Bezpecny sitovy souborovy system (delsi)

[Jakub Maa01 Jirků]

Sat, Jan 04, 2003 at 01:34:48PM +0100, Jan Houstek napsal(a):
> NFS - umi to (alespon v nejake verzi nebo rozsireni) sifrovat data?
>     - da se vubec pouzivat tak, aby to pri pripojeni naprosto
>       neduveryhodneho klienta bylo bezpecne

NFS je z Vami jmenovanych protokolu asi nejrychlejsi a nejstabilnejsi,
je to lety overeny protokol, ktery ma sice svoje problemy, ale
funguje. Ale jelikoz je to prehistoricka RPC sluzba, tak bezpecna
nebude asi nikdy a prakticky plny pristup k jakymkoliv (samozrejme
vyexportovanym) datum vam staci nabourat jakehokoliv z klientu, takze
v nezabezpefcene siti nic moc.

> AFS - o tom moc nevim, z ruznych stran slysim ruzne nazory, jinak otazky
>       stejne jako u NFS

S AFS nemam zkusnosti, ale slysel jsem neco o SFS, coz by melo byt NFS
vylepsene o sifrovani a pristup pomoci asymetricke kryptografie, takze
se spis zamerte timto smerem.

> SAMBA - te bych se radeji vyhnul, sice jsem to nepsal explicitne, ale
>         jedna se vylozene o klienta i server na Linuxu a cilem samby jsou
>         spise Windows klienti. Navic je tu ona potiz s vykonem, malo
> 	efektivne napsany smbfs atd.

S tim souhlasim, pri soucasnem stavu smbfs ma sambra takovy overhead,
o jakem se vam nesnilo :)

> FTPFS, SSHFS apod. - tohle povazuju za bastly, ale zadnou zkusenost s
> 		     tim nemam, takze je mozne, ze to neni uplne spatny
> 		     napad

Nezkousel jsem, kazdopadne jednoduchy protokol jako ftp, by mel mit
velmi maly overhead. Chtelo by to vyzkouset.

Dal bych vam mohl doporucit Intermezzo. Je sice trochu zvlastni a
vyzaduje na obou stranach userspace demona, ale prislo mi docela
rychle a vzhledem k tomu, ze je to dost neznamy protokol, tak i kdyz
ho nekdo odposlechne, tak mu pravdepodobne nikdo nerozumi, navic
zkompilovat onoho userspace demona je natolik obizne (ja jsem se s tim
zabyvat skoro tyden), ze se vam na to pripadny hacker nejspise
vykasle.

Pak je tady jeste CODA, ale tu bych vam vzhedem k tomu, ze jediny
zpusob jak ji skoubit s unixovymi pravy a uzivately je kerberos,
prilis nedoporucoval. Na druhou stranu, je diky tomu dost bezpecna.

> Protokoly, ktere neumi samy o sobe sifrovat hodlam protahnout pres
> stunnel, forwardovani portu pres ssh nebo VPN (asi cipe), coz opet dava
> vzniknout nekolika otazkam (napr. lze provozovat NFS pres stunnel?, jak
> velky overhead ma VPN? atd.)

NFS pres stunnel vzhledem k tomu, ze je to RPC sluzba a tudiz muze
bezet na jakemkoliv portu asi nespustite. VPNka nemaji overhead prilis
velky, ale dost zatezuji stroj na kterem bezi. Spis vam doporucuji
pozuit ipsec.

> Mate-li s necim podobnym prakticke zkusenosti, budu vdecny za odpovedi.
> 
> -- Honza Houstek

-- 
Jakub Maa01 Jirků <maa01 na seznam.cz>

<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> well, you can stil get one from a strange country :-P
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030104/e55bc253/attachment.sig>