适用于Linux的安全网络文件系统:人们在做什么?

NFSv3很普遍,但默认的安全模型是……古怪的. CIFS可以使用Kerberos身份验证,但如果没有POSIX语义,它就不是启动程序. AFS从来没有对线路上的流量进行加密,而且是krb4 – 而且基本上是一个死机项目.花哨的新实验文件系统要么从未实现,要么专注于速度(如果幸运的话,数据可靠性) – 例如,Lustre使用与NFSv3相同的客户端信任模型.对于家庭使用,sshfs是漂亮的,但肯定不会扩展.

当然还有NFSv4,sec = krb5p.理论上很棒,但十年之后,它似乎在现实世界中令人不安地使用了. Linux客户端已将just now删除了实验标记.如果你看一下EMC Celerra,Isilon等,那就是所有的NFSv3. (Celerra支持NFSv4,但它确实埋没在文档中.Isilon显然是在为FreeBSD添加RPCGSS支持,所以也许它即将到来,但它现在不存在.)我甚至不能将这篇文章标记为“nfsv4”,因为我这是新来的,那将是一个新的标签.

所以,真的.你们都在做什么?

最佳答案
因为这是一个特定的问题(你们都在做什么),让我们回答:没有.大多数管理员和用户都不担心NFS安全性,因此每个人都使用NFSv3.它通常是一个受控制的环境(从某种意义上说,只有知名的机器才能首先连接到网络).如果有人被抓获滥用基础设施,他们会被解雇或入狱.

对于您真正不希望任何人能够阅读的数据,您可以明确加密它们,例如Firefox密码数据库,ssh密钥或pgp密钥.你这样做是因为你知道管理员可以在文件服务器上读取它们,所以无论如何网络文件系统的安全性都没有任何帮助.

转载注明原文:适用于Linux的安全网络文件系统:人们在做什么? - 代码日志