Benutzer-Werkzeuge

Webseiten-Werkzeuge


nfs_sicherheit_prauni

Könnte für zukünftige Präsentationen mit eingebaut werden

Aufgrund der <i>enormen</i> Performance Einbußen durch unseren SSH Tunnel muss nun ein anderes System zur Absicherung des NFS-Servers und dessen Daten in Kraft treten. Möglichkeiten dafür wäre überhaupt der Wechsel von NFS auf ein anderes filesystem, wie etwa AFS oder SshNFS oder SecureNFS. Doch keines von denen bietet den Konfort von NFS und ich glaube auch, dass NFS bei weitem schneller ist als alle anderen filesystems.

Einerseits sollten sowohl auf Server- wie auch auf Clientseite die grundsetzlichen Parameter, die NFS von Haus aus für die Konfiguration bietet, verwendet werden. Also root_squash und secure in der /etc/exports.

Weiters habe ich mir vorgestellt,dass wir irgendetwas benötigen, das genau regelt, welche Rechner als sicher eingestuft werden können und somit die Erlaubnis haben, sich am NFS Tree einzuhängen.

Sehr schön würde das über die MAC Adressen der Clients und einer Absicherung mit iptables funktionieren.

z.B. iptables -A PREROUTING -i eth1 -m –mac-source ! 0d:bc:97:02:18:21 -j DROP

Oder: Am Server lauscht ein SSH tunnel auf dem Port 2050 nach 2049 und nur gültige REchner mit einem gültigen SSH public key dürfen diesen Tunnel verwenden.

Das wäre noch besse!!!

Gut, mehr davon aspäter…

nfs_sicherheit_prauni.txt · Zuletzt geändert: 2008/10/23 20:43 (Externe Bearbeitung)