Защита NFSv4 БЕЗ Kerberos в публичном облаке?

Question

Защита NFSv4 БЕЗ Kerberos в публичном облаке?

Я потерял достаточно волос, пытаясь настроить эту ерунду Kerberos. Есть ли способ защитить установку NFS v4 без использования Kerberos в общедоступном облаке, а именно:

все серверы имеют общедоступный IP-адрес (отсутствует внутренний IP-адрес или отсутствует VPC)
только известным серверам будет разрешено подключаться к портам NFS через соответствующую настройку iptables
Трафик NFS между серверами должен быть идеально зашифрован
все клиенты NFS являются доверенными
любые сетевые ошибки не должны вызывать сбой или зависание клиента
все серверы работают под управлением Ubuntu 18.04.1

Конфигурация сервера:

# cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=bionic
DISTRIB_DESCRIPTION="Ubuntu 18.04.1 LTS"

# uname -a
Linux prod-backoffice 4.15.0-42-generic #45-Ubuntu SMP Thu Nov 15 19:32:57 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

3

security nfs nfs4

Источник

Saurabh Nanda 14 фев '19 в 12:40

1 ответ

Другие вопросы по тегам security nfs nfs4

kofemann 15 фев '19 в 08:47 2019-02-15 08:47 · Answer 1 · 2019-02-15 08:47

На linuxjournal была статья о том, как использовать stunnel для обеспечения безопасного соединения между клиентом и сервером nfs. Поскольку NFSv4 использует только один порт, вы должны сделать это только один раз.

Эта статья вызвала новое действие в рабочей группе NFSv4 IETF и теперь является попыткой стандартизировать такие развертывания. Но это займет некоторое время для реализации, тестирования и развертывания на клиентских и серверных серверах.